谷歌已修补 Gemini CLI 中一项严重安全缺陷,该问题在特定自动化流程中可能被利用实现远程代码执行。受影响组件包括 npm 包 @google/gemini-cli 和 GitHub Action:google-github-actions/run-gemini-cli,尤其是在 CI/CD 等无头运行环境中风险更高。
漏洞成因分析
官方披露显示,该风险由两个相互关联的缺陷引发:一是工作区信任机制设计不当,二是在 --yolo 模式下工具白名单未被严格执行。当系统处理来自外部用户(如 PR 或 issue)的不可信输入时,这两点叠加会显著扩大攻击面。
无头环境中的信任问题
在旧版本中,Gemini CLI 以非交互方式运行时,会默认信任当前工作目录。这使其可以自动加载 .gemini/ 目录中的本地配置和环境变量,而无需人工确认。如果攻击者提前注入恶意内容,CLI 可能直接读取并执行相关指令,从而在处理不可信仓库时形成远程代码执行通道。
--yolo 模式的权限绕过
另一隐患出现在 --yolo 参数启用时。此前版本未能严格执行 ~/.gemini/settings.json 中的工具限制策略。例如,一旦允许 run_shell_command,实际权限可能被放大,执行范围超出预期。在可控提示输入场景下,攻击者可借助提示注入诱导系统执行危险命令。
影响范围与修复措施
该漏洞主要影响无头模式下的使用场景,但这已覆盖大量 GitHub Actions 自动化流程。谷歌建议用户重点检查 CI/CD 配置,尤其是涉及外部贡献输入的情况。
目前修复已发布:
新增安全策略
更新后,无头模式默认不再信任工作区。若确需信任,必须显式设置 GEMINI_TRUST_WORKSPACE: 'true'。对于涉及不可信输入的场景,官方建议按照安全加固指南严格限制可用工具与命令执行权限。
行业启示
该漏洞由安全研究人员通过谷歌漏洞奖励计划报告。事件反映出 AI 开发工具面临的新型风险:当自动化执行、提示输入与系统命令能力结合时,即使细微的策略疏漏,也可能被放大为关键攻击入口
网站资讯
渠道合作
解决方案
更多服务
