Google’s Gemini CLI-tool bleek al binnen 48 uur na lancering ernstig kwetsbaar. Onderzoekers ontdekten hoe kwaadwillenden via prompt injection-aanvallen destructieve commando’s kunnen uitvoeren en gevoelige data kunnen stelen, zonder dat gebruikers dit opmerken.
De aanvallers konden malafide commando’s verbergen door veel witruimte toe te voegen aan de commandoregels, waardoor alleen het onschuldige deel zichtbaar was in statusmeldingen. Hierdoor verstuurden ze ongemerkt omgevingsvariabelen naar servers onder hun controle, informatie die vaak systeeminstellingen en accountgegevens bevat.
Sam Cox, oprichter van securitybedrijf Tracebit, waarschuwt voor het aanzienlijke gevaar van deze kwetsbaarheid. “Dezelfde techniek werkt voor extreem destructieve commando’s zoals ‘rm -rf /’ of forkbombs die systemen doen crashen. Dat is precies waarom ik dit zo zorgwekkend vind,” aldus Cox. Andere vergelijkbare tools van Anthropic en OpenAI bleken niet voor dezelfde kwetsbaarheid vatbaar.
Misleiding via README-bestanden
Gemini CLI werd onlangs gelanceerd. Het is een gratis open-source AI-tool die ontwikkelaars helpt bij het schrijven van code in de terminal. Het maakt gebruik van Google’s krachtigste Gemini 2.5 Pro-model. Onderzoekers van Tracebit slaagden erin om de ingebouwde veiligheidsmaatregelen te omzeilen via een schijnbaar onschuldig coderepository.
De aanval is moeilijk te herkennen, doordat kwaadwillenden hun instructies verbergen in README.md-bestanden van packages. Gemini CLI leest deze bestanden om de code te begrijpen, waardoor natuurlijke taalcommando’s in README-bestanden de AI kunnen misleiden om gevaarlijke acties uit te voeren.
Omzeiling van allow-lists
De onderzoekers misbruikten een kritieke zwakte in het allow-list mechanisme. Gemini CLI blokkeert standaard commando’s tenzij gebruikers expliciet toestemming geven. Via prompt injection kregen aanvallers gebruikers zo ver het relatief onschuldige grep-commando aan hun allow-lijst toe te voegen.
Eenmaal goedgekeurd, voegden de aanvallers extra commando’s toe aan dezelfde regel, gescheiden door puntkomma’s. Het systeem controleerde alleen het eerste grep-gedeelte tegen de whitelist, terwijl de daaropvolgende env- en curl-commando’s vrij toegang kregen tot systeeminformatie.
Google classificeerde de kwetsbaarheid als Priority 1 en Severity 1, zo ernstig mogelijk dus. Het bedrijf bracht vorige week een fix uit die de aanvalstechniek blokkeert. Gemini CLI-gebruikers moeten upgraden naar versie 0.1.14 en onbetrouwbare codebases alleen in sandbox-omgevingen draaien.