Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Помог так помог. Почему ИИ-инструмент от Google начал выполнять команды хакеров без лишних вопросов

leer en español

16532
Google Gemini CLI Cursor Novee Security CI/CD выполнение кода
Помог так помог. Почему ИИ-инструмент от Google начал выполнять команды хакеров без лишних вопросов
Google Gemini CLI Cursor Novee Security CI/CD выполнение кода

Оказывается, перехватить власть можно и вовсе исключив взломы или кражу паролей.

image

Инструменты на базе ИИ всё чаще берут на себя рутинные задачи разработчиков, но вместе с удобством растёт и риск: достаточно одной небезопасной настройки, чтобы помощник сам запустил вредоносную команду. Свежие исправления Google и отчёты специалистов показывают, насколько опасными становятся такие сценарии в CI/CD и средах разработки.

Google устранила критическую уязвимость в Gemini CLI, затронувшую npm-пакет @google/gemini-cli и workflow google-github-actions/run-gemini-cli для GitHub Actions. Проблема получила оценку 10,0 по шкале CVSS, но пока не имеет идентификатора CVE. Под угрозой находились версии @google/gemini-cli ниже 0.39.1, @google/gemini-cli ниже 0.40.0-preview.3 и google-github-actions/run-gemini-cli ниже 0.1.22.

По данным Novee Security, внешний атакующий без привилегий мог заставить инструмент загрузить вредоносную конфигурацию Gemini. После этого команды выполнялись прямо на хосте ещё до запуска песочницы. Риск касался прежде всего workflow, где Gemini CLI работал в headless-режиме и обрабатывал недоверенные данные, например pull request от сторонних пользователей.

Причина крылась в автоматическом доверии к текущей рабочей папке в CI-средах. Gemini CLI мог без ручной проверки загрузить найденные настройки и переменные окружения из локального каталога .gemini. Злоумышленник мог заранее поместить туда подготовленные файлы и превратить pipeline в канал атаки на цепочку поставок.

В новых версиях Google требует явно доверять папкам перед чтением конфигурации. Для проверенных входных данных компания предлагает включать переменную GEMINI_TRUST_WORKSPACE, а при работе с недоверенным кодом — дополнительно усиливать workflow по рекомендациям проекта. Google также изменила поведение режима --yolo: теперь механизм политик учитывает список разрешённых инструментов, чтобы автоодобрение не запускало опасные команды без контроля.

Таким образом, ИИ-агенты в разработке уже нельзя воспринимать как безобидных помощников: чем больше прав получает такой инструмент, тем строже должны быть границы доверия, проверки входных данных и контроль над любым автоматическим действием.