Lỗ hổng nghiêm trọng trong Gemini CLI mở cửa cho thực thi mã và tấn công chuỗi cung ứng

Các nhà nghiên cứu tại Novee Security mới đây đã phát hiện một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong Gemini CLI. Đây là một tác nhân AI mã nguồn mở được thiết kế để cung cấp quyền truy cập nhẹ nhàng vào mô hình Gemini trực tiếp từ terminal.

Google đã nhanh chóng vá lỗi này cả trong Gemini CLI lẫn trong GitHub Action 'run-gemini-cli'.

Gemini CLI

Cơ chế hoạt động của lỗ hổng

Vấn đề cốt lõi nằm ở cách Gemini CLI xử lý các tệp cấu hình. Các nhà nghiên cứu nhận thấy rằng "Gemini CLI tự động tin tưởng thư mục không gian làm việc (workspace) hiện tại, tải bất kỳ cấu hình tác nhân nào nó tìm thấy ở đó mà không cần xem xét, sandbox hay phê duyệt của con người".

Sự tin tưởng thiếu kiểm soát này tạo ra một lỗ hổng bảo mật lớn. Một kẻ tấn công có thể cài đặt một cấu hình độc hại vào thư mục đó. Khi tác nhân AI tải cấu hình này, nó sẽ thực thi các lệnh tùy ý trên máy chủ trước khi quá trình khởi tạo sandbox diễn ra.

Tác động đến chuỗi cung ứng và CI/CD

Hậu quả của việc khai thác lỗ hổng này là rất nghiêm trọng. Trong mọi quy trình bị ảnh hưởng, kết quả đều giống nhau: việc thực thi mã trên máy chủ chạy tác nhân sẽ cấp cho một người bên ngoài không có đặc quyền quyền truy cập vào mọi bí mật, thông tin xác thực và mã nguồn mà quy trình đó có thể tiếp cận.

Trong bối cảnh của các đường ống CI/CD (tích hợp liên tục và triển khai liên tục), kẻ tấn công có thể tận dụng lỗ hổng này để thực hiện các cuộc tấn công chuỗi cung ứng.

"Các tác nhân AI viết mã hiện nay nằm ngay trong các đường ống CI/CD, nắm giữ các đặc quyền thực thi của một người đóng góp đáng tin cậy, đọc từ cùng một không gian làm việc mà người đóng góp đó sẽ chạm tới. Mức độ truy cập này có thể dẫn đến các cuộc tấn công chuỗi cung ứng nghiêm trọng, loại tấn công xuất phát ngay từ quy trình làm việc của nhà phát triển," - các nhà nghiên cứu của Novee giải thích.

Theo các chuyên gia, một mối đe dọa có thể đã khai thác lỗ hổng này để đánh cắp mã thông báo (token) và di chuyển ngang sang các hệ thống hạ lưu.

Không phải là Prompt Injection

Điều đáng chú ý là cuộc tấn công này không liên quan đến việc chèn lệnh (prompt injection) hay quyết định của mô hình AI. Nó hoàn toàn là một lỗi logic trong cách ứng dụng xử lý các tệp cấu hình cục bộ.

Trước đó, một nhóm nghiên cứu khác cũng đã chứng minh rằng các tác nhân AI liên quan đến Claude Code Security Review, Gemini CLI Action và GitHub Copilot Agent có thể bị chiếm quyền kiểm soát thông qua các nhận xét độc hại trên GitHub.

Sự xuất hiện ngày càng nhiều của các công cụ AI trong quy trình phát triển phần mềm đang đặt ra những thách thức bảo mật mới, đòi hỏi các nhà phát triển phải thận trọng hơn trong việc quản lý quyền truy cập và tin cậy.