Lỗ hổng Gemini CLI có thể dẫn đến thực thi mã và tấn công chuỗi cung ứng

Pillar Security vừa phát cảnh báo về một lỗ hổng nghiêm trọng trong Gemini CLI, một tác nhân AI mã nguồn mở cho phép người dùng truy cập vào trợ lý Google Gemini trực tiếp từ dòng lệnh (terminal).

Lỗi bảo mật này được đánh giá điểm CVSS là 10/10 (mức nghiêm trọng nhất) dù chưa được cấp định danh CVE chính thức. Nguyên nhân nằm ở việc Gemini CLI khi hoạt động ở chế độ --yolo đã bỏ qua danh sách cho phép (tool allowlists), dẫn đến việc thực thi bất kỳ lệnh nào mà không có sự kiểm soát.

Gemini CLI

Kịch bản tấn công qua Prompt Injection

Theo Pillar Security, kẻ tấn công có thể khai thác lỗ hổng này bằng cách tạo một issue công khai trên một kho lưu trữ GitHub của Google và giấu các prompt độc hại trong nội dung văn bản.

Vì ở chế độ --yolo, mọi cuộc gọi công cụ đều được tự động phê duyệt, kẻ tấn công có thể chiếm quyền kiểm soát tác nhân AI được thiết kế để tự động phân loại (triage) các issue do người dùng gửi.

Dựa trên các hướng dẫn đã được tiêm vào, tác nhân AI có thể trích xuất các bí mật nội bộ từ môi trường xây dựng (build environment) và gửi chúng đến một máy chủ do kẻ tấn công kiểm soát.

Nguy cơ tấn công chuỗi cung ứng

Pillar Security nhấn mạnh mức độ nghiêm trọng của vấn đề: "Từ những thông tin đăng nhập đó, kẻ tấn công chuyển sang một mã thông báo (token) có quyền ghi đầy đủ trên kho lưu trữ. Đây là sự xâm phạm hoàn toàn chuỗi cung ứng. Kẻ tấn công có thể đẩy mã độc ý định lên nhánh chính của kho lưu trữ gemini-cli, sau đó mã này sẽ được phân phối đến mọi người dùng hạ nguồn."

Công ty an ninh mạng này cũng cho biết ít nhất tám kho lưu trữ khác của Google đã triển khai mẫu quy trình làm việc (workflow template) dễ bị tổn thương tương tự.

Bảo mật

Bản vá lỗi từ Google

Google đã khắc phục lỗ hổng này vào ngày 24 tháng 4 trong phiên bản Gemini CLI 0.39.1. Bản cập nhật này đánh giá lại việc cho phép công cụ (tool allowlisting) ngay cả khi ở chế độ --yolo. Hành động GitHub run-gemini-cli cũng đã được cập nhật.

Ngoài vấn đề về danh sách cho phép công cụ, bản cập nhật cũng giải quyết một vấn đề tin cậy lỏng lẻo ảnh hưởng đến Gemini CLI ở chế độ headless. Trước đây, chế độ này tự động tin cậy thư mục không gian làm việc hiện tại, tải bất kỳ cấu hình hoặc biến môi trường nào trong đó.

Lỗi này có thể cho phép kẻ tấn công truy cập thông tin đăng nhập, bí mật và mã nguồn trên các quy trình CI dễ bị tổn thương, dẫn đến nguy cơ tấn công chuỗi cung ứng.