Google’ın İkizler CLI’sindeki bir güvenlik açığı, saldırganların kötü niyetli komutlar yürütmesine ve izin verilen programları kullanarak geliştiricilerin bilgisayarlarından verileri sunmasına izin verdi.
Kusur, 27 Haziran’da güvenlik firması Tracebit tarafından Google’a keşfedildi ve bildirildi ve teknoloji devi 25 Temmuz’da mevcut olan 0.1.14 sürümünde bir düzeltme yayınladı.
İlk olarak 25 Haziran 2025’te yayınlanan Gemini CLI, Google tarafından geliştirilen ve geliştiricilerin Terminal’den Google’ın Gemini AI ile doğrudan etkileşime girmesini sağlayan bir komut satırı arayüz aracıdır.
Proje dosyalarını “bağlam” olarak yükleyerek ve daha sonra doğal dil kullanarak büyük dil modeli (LLM) ile etkileşime girerek kodlamayla ilgili görevlere yardımcı olmak için tasarlanmıştır.
Araç, kullanıcıyı önce isteyerek veya bir izin listesi mekanizması kullanarak önerilerde bulunabilir, kod yazabilir ve hatta komutları yerel olarak yürütebilir.
Yeni aracı piyasaya sürüldükten hemen sonra araştıran Tracebit araştırmacıları, kötü niyetli komutların yürütülmesinin kandırılabileceğini buldular. UX zayıf yönleriyle birleştirilirse, bu komutlar tespit edilemeyen kod yürütme saldırılarına yol açabilir.
İstismar, Gemini Cli’nin bir kod tabanını anlamaya yardımcı olma isteğine okunan “bağlam dosyaları”, özellikle ‘ReadMe.md’ ve ‘Gemini.md’ işlenmesini kullanarak çalışır.
Tracebit, istem enjeksiyon yapmak için bu dosyalardaki kötü niyetli talimatların gizlenmesinin mümkün olduğunu bulurken, kötü komut ayrıştırma ve liste kullanma işlemi kötü amaçlı kod yürütme için izin.
İyi huylu bir python betiği ve zehirlenmiş bir ‘ReadMe.md’ dosyası içeren bir depo kurarak bir saldırı gösterdiler ve daha sonra üzerinde bir Gemini CLI taraması tetiklediler.
İkizler ilk önce benign bir komut (‘grep ^kurulumu readme.md’) çalıştırması ve ardından güvenilir bir eylem olarak ele alınan, kullanıcının onaylamasını istemeyen kötü niyetli bir veri ekleme komutu çalıştırması talimatı verilir.
Tracebit’in örneğinde kullanılan komut grep gibi görünüyor, ancak noktalı virgül (;) sonra ayrı bir veri açığa çıkma komutu başlar. Gemini CLI, kullanıcı listelenmiş grep’e izin verdiyse tüm dizeyi otomatik olarak yürütmek için güvenli olarak yorumlar.
Kaynak: Tracebit
Raporda Tracebit, “Beyaz liste ile karşılaştırma amacıyla, Gemini bunu bir ‘grep’ komutu olarak görecek ve kullanıcıya tekrar sormadan yürütecekti.”
“Gerçekte, bu bir grep komutu ve ardından kullanıcının tüm ortam değişkenlerini (muhtemelen sırlar içeren) uzak bir sunucuya sessizce püskürtmek için bir komuttur.”
“Kötü niyetli komut herhangi bir şey olabilir (uzak bir kabuk yükleme, dosyaları silme, vb.).”
Ayrıca, Gemini’nin çıkışı kullanıcıdan kötü niyetli komutu gizlemek için Whitespace ile görsel olarak manipüle edilebilir, bu nedenle yürütülmesinin farkında değildirler.
Tracebit, bu kusurun POC istismarını göstermek için aşağıdaki videoyu oluşturdu:
Saldırı, kullanıcının belirli komutlara izin verdiğini varsaymak gibi bazı güçlü ön koşullarla gelse de, kalıcı saldırganlar birçok durumda istenen sonuçları elde edebilir.
Bu, görünüşte zararsız eylemler gerçekleştirmesi talimatı verildiğinde bile sessiz veri açığa çıkması için kandırılabilen AI asistanlarının tehlikelerinin bir başka örneğidir.
Gemini CLI kullanıcılarının 0.1.14 sürümüne (en son) yükseltmeleri önerilir. Ayrıca, aracı bilinmeyen veya güvenilmeyen kod tabanlarına karşı çalıştırmaktan kaçının veya bunu sadece kum havuzu ortamlarında yapın.
Tracebit, saldırı yöntemini Openai Codex ve antropik Claude gibi diğer aracı kodlama araçlarına karşı test ettiğini belirtir, ancak bunlar daha sağlam izin verilen mekanizmalar nedeniyle sömürülemez.
CISOS, tahta alım almanın bulut güvenliğinin iş değerini nasıl yönlendirdiğine dair net ve stratejik bir bakışla başladığını biliyor.
Bu ücretsiz, düzenlenebilir yönetim kurulu raporu güvertesi, güvenlik liderlerinin risk, etki ve öncelikleri açık iş açısından sunmalarına yardımcı olur. Güvenlik güncellemelerini anlamlı konuşmalara dönüştürün ve toplantı odasında daha hızlı karar verme.