Μια κρίσιμη ευπάθεια ασφαλείας εντοπίστηκε από την Tracebit στις 27 Ιουνίου 2025. Επηρεάζει το εργαλείο Gemini CLI της Google, επιτρέποντας στους επιτιθέμενους να εκτελούν κακόβουλες εντολές. Αυτό το ελάττωμα λειτουργεί σε συστήματα developer, συχνά χωρίς ανίχνευση. Η ευπάθεια εκμεταλλεύεται την εισαγωγή προτροπών, την ανεπαρκή επικύρωση εισόδου και παραπλανητικά στοιχεία UI. Αυτό επιτρέπει την αθόρυβη εκτέλεση κώδικα, ειδικά όταν οι developer εξετάζουν μη αξιόπιστα αποθετήρια κώδικα.
Ο πυρήνας της ευπάθειας βρίσκεται στο εργαλείο `run_shell_command` του Gemini CLI. Περιλαμβάνει επίσης την υποστήριξή του για αρχεία περιβάλλοντος, όπως το `GEMINI.md`, τα οποία παρέχουν πληροφορίες έργου στον βοηθό AI.
Οι επιτιθέμενοι μπορούσαν να ενσωματώσουν επιβλαβείς οδηγίες σε φαινομενικά αβλαβή αρχεία, όπως το `README.md`. Αυτές συχνά κρύβονταν μέσα σε νόμιμο περιεχόμενο, συμπεριλαμβανομένου του κειμένου της `GNU Public License`. Αυτή η εξελιγμένη επίθεση χρησιμοποίησε μια προσέγγιση δύο σταδίων. Οι επιτιθέμενοι αρχικά ζητούσαν από το Gemini να εκτελέσει μια αβλαβή εντολή, όπως το `grep ^Setup README.md`. Αυτό φαινόταν να αναζητά οδηγίες εγκατάστασης. Με την έγκριση του χρήστη, η λειτουργία προστέθηκε στη λευκή λίστα. Ωστόσο, η ελαττωματική λογική επικύρωσης του συστήματος δημιούργησε ένα άνοιγμα. Η ανεπαρκής επικύρωση εντολών του Gemini CLI έναντι της λευκής λίστας ήταν το βασικό τεχνικό ελάττωμα.
Η αρχική υλοποίηση απέτυχε να αναλύσει σύνθετες συμβολοσειρές εντολών shell. Αυτό επέτρεψε στους επιτιθέμενους να προσθέσουν κακόβουλα φορτία μετά από εγκεκριμένες εντολές. Μια εντολή `grep` στη λευκή λίστα, για παράδειγμα, θα μπορούσε να διαρρεύσει μεταβλητές περιβάλλοντος. Ευαίσθητα διαπιστευτήρια θα μπορούσαν να σταλούν σε έναν διακομιστή που ελέγχεται από τον επιτιθέμενο. Αυτό συνέβαινε ενώ η αναμενόμενη λειτουργία `grep` εξακολουθούσε να εκτελείται, καθιστώντας την επίθεση κρυφή. Μια επικίνδυνη πτυχή ήταν η ικανότητα της ευπάθειας να παραμένει κρυφή. Οι επιτιθέμενοι χρησιμοποίησαν ιδιορρυθμίες απόδοσης στο Terminal User Interface του Gemini CLI. Εισήγαγαν πολλούς χαρακτήρες κενού χώρου εντός των εντολών. Αυτό απέκρυψε τα κακόβουλα φορτία από την οθόνη. Οι χρήστες έβλεπαν μόνο το αβλαβές τμήμα της εντολής, ακόμα και όταν ο κακόβουλος κώδικας εκτελούνταν επιτυχώς.
Η Google το κατέταξε ως ζήτημα σοβαρότητας P1/S1. Μια διορθωτική ενημέρωση κυκλοφόρησε στην έκδοση 0.1.14 του Gemini CLI στις 25 Ιουλίου 2025. Αυτή η ενημέρωση βελτίωσε τη λογική ανάλυσης εντολών. Επίσης, αύξησε την ορατότητα των κακόβουλων εντολών στους χρήστες. Απαιτείται πλέον ρητή έγκριση για τυχόν πρόσθετα δυαδικά αρχεία. Οι ερευνητές ασφαλείας παροτρύνουν τους developer να αναβαθμίσουν στην έκδοση 0.1.14 ή νεότερη. Συνιστούν επίσης τη χρήση λειτουργιών sandboxing όποτε είναι δυνατόν, ειδικά όταν χρησιμοποιούν εργαλεία ανάπτυξης με τεχνητή νοημοσύνη.