Es wurde festgestellt, dass Googles Gemini CLI -Tool, das am 25. Juni 2025 gestartet wurde, kurz nach seiner Veröffentlichung einen Sicherheitsfehler enthält. Cybersecurity -Forscher bei Tracebit entdeckte die Sicherheitsanfälligkeit, die es Bedrohungsakteuren ermöglichen können, Entwickler mit Malware und Peeltratdaten ohne ihr Wissen anzusprechen. Google hat seitdem Version 0.1.14 veröffentlicht, um das Problem zu lösen.
Der Sicherheitsfehler stammte aus der Fähigkeit von Gemini Cli, Befehle automatisch von einer vorab genehmigten Zulliste auszuführen. Tracbit -Forscher fanden heraus, dass böswillige Anweisungen in Dateien wie Readme.md versteckt werden könnten, die Gemini Cli liest. Dies ermöglichte es den Angreifern, böswillige Befehle mit vertrauenswürdigen zu kombinieren.
In einem von Tracebit durchgeführten Test wurde ein scheinbar harmloser Befehl mit einem böswilligen Befehl kombiniert, der sensible Informationen, einschließlich Systemvariablen und Anmeldeinformationen, an einen externen Server peelte. Da Gemini CLI den Befehl vertrauenswürdig erkannte, alarmierte er den Benutzer nicht oder forderte die Berechtigung nicht auf, bevor der Befehl gepaarter böswilliger Befehl ausgeführt wurde. Tracebit gab an, dass der böswillige Befehl mit spezifischen Formatierungstechniken versteckt werden könnte, was es den Benutzern schwer macht, zu erkennen.
Shuyal Malware stiehlt Daten von 19 verschiedenen Browsern
„Der böswillige Befehl könnte alles sein (Installieren einer Remote -Shell, Löschen von Dateien usw.)“, erklärten die Forscher und hob die potenzielle Schwere der Verwundbarkeit hervor. Die Nutzung des Fehlers erforderte zwar eine anfängliche Einrichtung, einschließlich des Vorhandenseins eines vertrauenswürdigen Befehls auf der Zulliste, es stellte Entwickler mit dem Tool ein erhebliches Risiko dar.
Google hat diese Verwundbarkeit mit der Veröffentlichung von Gemini CLI Version 0.1.14 angesprochen. Den Benutzern wird nachdrücklich empfohlen, diese oder eine neuere Version so schnell wie möglich auf diese Version zu aktualisieren. Es wird auch empfohlen, bei der Ausführung von Gemini -CLI auf unbekanntem oder nicht vertrauenswürdigem Code Vorsicht zu machen, es sei denn, in einer sandboxen oder sicheren Testumgebung arbeiten, um eine mögliche Ausbeutung dieser oder anderer Schwachstellen zu vermeiden.
