Bản vá lỗi nghiêm trọng Google Gemini CLI có thể làm hỏng các pipeline CI/CD

Nếu bạn đang sử dụng công cụ dòng lệnh Gemini CLI của Google, hãy chú ý: Google mới đây đã vá một lỗ hổng bảo mật cấp độ nghiêm trọng trong công cụ này và cảnh báo những người sử dụng nó trong chế độ headless hoặc thông qua GitHub Actions cần rà soát lại các quy trình làm việc của mình.

Bản cập nhật dành cho Gemini CLI và hành động GitHub run-gemini-cli, được công bố vào tuần trước nhưng chỉ mới nhận được sự chú ý rộng rãi sau khi một trong các nhóm nghiên cứu đăng tải phân tích chi tiết vào thứ Tư, đã khắc phục một lỗi nghiêm trọng liên quan đến các cài đặt tin cậy workspace quá mức.

Theo bản tư vấn bảo mật của Google trên GitHub, vấn đề bắt nguồn từ cách chế độ headless của Gemini CLI (thường được sử dụng trong các môi trường CI/CD và ngày càng phổ biến bởi các tác nhân AI) xử lý quyền tin cậy đối với thư mục làm việc: Nó mặc định cho rằng bất kỳ thư mục workspace nào mà nó đang hoạt động đều được tin cậy nhằm mục đích tải tệp cấu hình và biến môi trường.

Rủi ro thực thi mã từ xa

Nghiên cứu viên Elad Meged từ Novee, người đã phát hiện ra lỗ hổng này một cách độc lập (bên cạnh Dan Lisichkin từ Pillar Security), cho biết ông đã tìm ra nó trong khi nghiên cứu các vector tấn công chuỗi cung ứng CI/CD.

"Lỗ hổng này không liên quan gì đến việc chèn lệnh (prompt injection) hay mô hình 'quyết định' hành động ác ý," Meged chia sẻ trong một email. "Đây là vấn đề ở cấp độ hạ tầng, nơi nội dung do kẻ tấn công kiểm soát được chấp nhận âm thầm dưới dạng cấu hình tin cậy và được thực thi trước khi bất kỳ sandbox nào được khởi tạo."

Dù chưa có mã CVE được cấp chính thức, Google đã xác nhận với Meged rằng họ đang trong quá trình gán mã số này cho lỗ hổng. Novee cũng đã nhận được phần thưởng tìm lỗi (bug bounty) cho phát hiện này, nhưng từ chối công bố số tiền cụ thể.

Bản vá cần thiết nhưng có hệ quả phụ

"Việc này tiềm ẩn rủi ro trong các tình huống Gemini CLI chạy trên các thư mục không đáng tin cậy ở chế độ headless," Google giải thích. "Nếu được sử dụng với nội dung thư mục không đáng tin cậy, điều này có thể dẫn đến thực thi mã từ xa thông qua các biến môi trường độc hại trong thư mục cục bộ .gemini/."

Chế độ tương tác (interactive mode) của Gemini CLI không hoạt động theo cách này: nó yêu cầu người dùng phải xác thực rõ ràng một thư mục trước khi tải tệp cấu hình workspace. Bản cập nhật hiện đã đưa chế độ headless về hoạt động tương đồng với hành vi này.

Các biện pháp giảm thiểu đã được tích hợp trong các phiên bản Gemini CLI 0.39.1 và 0.40.0-preview.3. Tuy nhiên, vấn đề nằm ở chỗ: hành động GitHub run-gemini-cli mặc định sẽ sử dụng phiên bản Gemini CLI mới nhất trừ khi người dùng cố định (pin) một phiên bản cụ thể. Nói cách khác, bất kỳ ai sử dụng GitHub Action như một phần của quy trình mà không chỉ định phiên bản CLI có thể sẽ gặp phải sự cố.

Google cảnh báo rằng: "Các GitHub Actions và quy trình tự động hóa khác dựa trên hành vi tin cậy tự động trước đó sẽ không tải được các cài đặt đặc thù của workspace cho đến khi chúng được cập nhật để sử dụng cơ chế tin cậy rõ ràng."

Ngoài ra, bản cập nhật cũng có thể làm hỏng các workflow dựa vào chế độ --yolo của Gemini CLI, chế độ này trước đây bỏ qua các danh sách cho phép công cụ chi tiết (fine-grained tool allowlists) và tự động phê duyệt hành động của tác nhân mà không cần nhắc nhở. Trong phiên bản mới, chính sách công cụ sẽ đánh giá lại danh sách cho phép ngay cả trong chế độ --yolo.

"Trong các phiên bản trước, khi Gemini CLI được cấu hình để chạy ở chế độ --yolo, nó sẽ bỏ qua bất kỳ danh sách cho phép công cụ chi tiết nào," Google giải thích trong bản tư vấn. "Trong phiên bản 0.39.1, động cơ chính sách của Gemini CLI giờ đây sẽ đánh giá danh sách cho phép công cụ dưới chế độ --yolo... Do đó, một số workflow trước đây phụ thuộc vào hành vi này có thể thất bại âm thầm trừ khi danh sách cho phép công cụ được sửa đổi cho phù hợp với nhiệm vụ."

Đội ngũ Novee Security khuyến cáo rằng rủi ro của việc không cập nhật là rất lớn. Trên mọi quy trình mà Novee đã kiểm tra lỗ hổng này, kết quả đều giống nhau một cách tàn khốc.

"Việc thực thi mã trên máy chủ lưu trữ tác nhân đã cấp cho người ngoài không có đặc quyền quyền truy cập vào mọi bí mật, thông tin đăng nhập và mã nguồn mà quy trình có thể tiếp cận," nhóm Novee giải thích. "Đủ để đánh cắp mã thông báo (token), chuyển hướng chuỗi cung ứng và di chuyển ngang sang các hệ thống hạ lưu."

Tóm lại, hãy thực hiện các thay đổi như Google gợi ý, hoặc tránh đặt các tác nhân AI vào các môi trường nhạy cảm cho đến khi rủi ro được hiểu rõ ràng hơn.