Uma vulnerabilidade na CLI Gemini do Google permitiu que invasores executassem silenciosamente comandos maliciosos e exfiltrassem dados dos computadores dos desenvolvedores usando programas permitidos.
A falha foi descoberta e relatada ao Google pela empresa de segurança Tracebit em 27 de junho, com ogigante da tecnologia lançando uma correção na versão 0.1.14, que ficou disponível em 25 de julho.
Gemini CLI, lançado pela primeira vez em 25 de Junho de 2025, é uma ferramenta de interface de linha de comando desenvolvida pelo Google que permite que os desenvolvedores interajam diretamente com o Gemini AI do Google a partir do terminal.
Ele foi projetado para auxiliar em tarefas relacionadas à codificação, carregando arquivos de projeto em “contexto” e, em seguida, interagindo com o modelo de linguagem grande (LLM) usando linguagem natural.
A ferramenta pode fazer recomendações, escrever código e até mesmo executar comandos localmente, solicitando primeiro ao usuário ou usando um mecanismo de lista de permissões.
Os pesquisadores da Tracebit, que exploraram a nova ferramenta imediatamente após seu lançamento, descobriram que ela poderia ser induzida a executar comandos maliciosos. Se combinados com pontos fracos de UX, esses comandos podem levar a ataques de execução de código indetectáveis.
O exploit funciona explorando o processamento de “arquivos de contexto” da Gemini CLI, especificamente ‘README.md’ e ‘GEMINI.md’, que são lidos em seu prompt para ajudar na compreensão de uma base de código.
O Tracebit descobriu que é possível ocultar instruções maliciosas nesses arquivos para realizar a injeção de prompt, enquanto a análise de comandos ruim e o tratamento da lista de permissões deixam espaço para a execução de código malicioso.
Eles demonstraram um ataque configurando um repositório contendo um script Python benigno e um arquivo ‘README.md’ envenenado e, em seguida, acionaram uma varredura da CLI do Gemini nele.
O Gemini é instruído primeiro a executar um comando benigno (‘grep ^Setup README.md’) e, em seguida, executar um comando de exfiltração de dados mal-intencionado que é tratado como uma ação confiável, não solicitando que o usuário o aprove.
O comando usado no exemplo do Tracebit parece ser grep, mas após um ponto e vírgula (;), um comando separado de exfiltração de dados começa. A CLI do Gemini interpreta toda a string como segura para execução automática se o usuário tiver o grep na lista de permissões.
explica Tracebit no relatório.
“Na realidade, este é um comando grep seguido por um comando para exfiltrar silenciosamente todas as variáveis de ambiente do usuário (possivelmente contendo segredos) para um servidor remoto.”
“O comando malicioso pode ser qualquer coisa (instalar um shell remoto, excluir arquivos, etc).”
Além disso, a saída do Gemini pode ser manipulada visualmente com espaços em branco para ocultar o comando malicioso do usuário, para que ele não esteja ciente de sua execução.
A Tracebit criou o seguinte vídeo para demonstrar a exploração de PoC dessa falha:
Embora o ataque venha com alguns pré-requisitos fortes, como presumir que o usuário tenha comandos específicos na lista de permissões, os invasores persistentes podem alcançar os resultados desejados em muitos casos.
Este é outro exemplo dos perigos dos assistentes de IA, que podem ser enganados para executar Exfiltração silenciosa de dados mesmo quando instruído a realizar ações aparentemente inócuas.
Recomenda-se que os usuários da CLI do Gemini atualizem para versão 0.1.14 (mais recente). Além disso, evite executar a ferramenta em bases de código desconhecidas ou não confiáveis, ou faça isso apenas em ambientes de área restrita.
A Tracebit afirma que testou o método de ataque contra outras ferramentas de codificação agente, como OpenAI Codex e Anthropic Claude, mas elas não podem ser exploradas devido a mecanismos de lista de permissões mais robustos.
