Uma vulnerabilidade no Gemini CLI da Google permitiu que invasores executassem comandos maliciosos em silêncio e exfiltrasse dados dos computadores dos desenvolvedores usando programas na lista de permissões.
A falha foi descoberta e relatada à Google pela empresa de segurança Tracebit em 27 de junho, com o gigante da tecnologia lançando uma correção na versão 0.1.14, que ficou disponível em 25 de julho.
O Gemini CLI, lançado pela primeira vez em 25 de junho de 2025, é uma ferramenta de interface de linha de comando desenvolvida pela Google que permite aos desenvolvedores interagirem diretamente com a AI Gemini da Google a partir do terminal.
É projetado para auxiliar em tarefas relacionadas à programação, carregando arquivos de projeto em "contexto" e então interagindo com o modelo de linguagem de grande escala (LLM) usando linguagem natural.
A ferramenta pode fazer recomendações, escrever código e até executar comandos localmente, seja solicitando primeiro a permissão do usuário ou usando um mecanismo de lista de permissões.
Pesquisadores da Tracebit, que exploraram a nova ferramenta imediatamente após seu lançamento, descobriram que ela poderia ser enganada para executar comandos maliciosos.
Se combinado com fraquezas de UX, esses comandos poderiam levar a ataques de execução de código indetectáveis.
O exploit funciona explorando o processamento do Gemini CLI de "arquivos de contexto", especificamente 'README.md' e 'GEMINI.md', que são lidos em seu prompt para ajudar a entender uma base de código.
A Tracebit descobriu que é possível esconder instruções maliciosas nesses arquivos para realizar injeção de prompt, enquanto a má análise de comandos e o tratamento da lista de permissões deixam espaço para execução de código malicioso.
Eles demonstraram um ataque configurando um repositório contendo um script Python benigno e um arquivo 'README.md' envenenado, e então acionaram uma varredura do Gemini CLI nele.
O Gemini é primeiro instruído a executar um comando benigno ('grep ^Setup README.md') e então executar um comando malicioso de exfiltração de dados tratado como uma ação confiável, sem solicitar ao usuário que o aprove.
O comando usado no exemplo da Tracebit parece ser grep, mas após um ponto e vírgula (;), começa um comando separado de exfiltração de dados.
O Gemini CLI interpreta toda a string como segura para autoexecução se o usuário tiver lista de permissões para grep.
"Para fins de comparação com a lista de permissões, o Gemini consideraria isso como um comando 'grep', e o executaria sem perguntar ao usuário novamente," explica a Tracebit no relatório.
Na realidade, isso é um comando grep seguido por um comando para exfiltrar silenciosamente todas as variáveis de ambiente do usuário (possivelmente contendo segredos) para um servidor remoto.
O comando malicioso poderia ser qualquer coisa (instalando um shell remoto, deletando arquivos, etc).
Além disso, a saída do Gemini pode ser visualmente manipulada com espaços em branco para esconder o comando malicioso do usuário, para que eles não estejam cientes de sua execução.
A Tracebit criou o seguinte vídeo para demonstrar o exploit PoC dessa falha:
Embora o ataque venha com alguns pré-requisitos fortes, como assumir que o usuário tenha permitido comandos específicos, invasores persistentes poderiam alcançar os resultados desejados em muitos casos.
Este é mais um exemplo dos perigos de assistentes de IA, que podem ser enganados para realizar exfiltração de dados em silêncio mesmo quando instruídos a realizar ações aparentemente inocentes.
Usuários do Gemini CLI são recomendados a atualizar para a versão 0.1.14 (mais recente).
Além disso, evite executar a ferramenta contra bases de código desconhecidas ou não confiáveis, ou faça isso apenas em ambientes isolados.
A Tracebit afirma que testou o método de ataque contra outras ferramentas de codificação agentivas, como OpenAI Codex e Anthropic Claude, mas essas não são exploráveis devido a mecanismos de lista de permissões mais robustos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...