Google korrigiert kritische Sicherheitslücke in Gemini CLI (Paket npm @ google / gemini-cli) und im Workflow von GitHub Aktionen google-github-Aktionen / run-gemini-cli dass es erlaubt, beliebige Befehle im Host-System auszuführen, wenn das Tool im Headless-Modus innerhalb von CI verwendet wurde. Die Wurzel des Problems war ein implizites Vertrauen in den Arbeitsordner: in den betroffenen Versionen die CLI geladenen Einstellungen und Umgebungsvariablen aus .gemini / ohne Validierung beim Betrieb in automatisierten Umgebungen, die die Tür öffnete, auf die schädliche Inhalte, die von einem Angreifer gepflanzt wurden, als legitime Konfiguration und detonierte Remote-Code-Ausführung behandelt wurden.
Der mit höchster Schwere (CVSS 10.0) von externen Forschern qualifizierte Defekt zeigt, wie eine Verknüpfung von Usability in automatisierten Pipelines zu einem Supply-Chain-Angriffsvektor wird: Pull Requests-Analyse, Forks oder Drittanbieter-Inhalte können Fallen werden, wenn ein Werkzeug annimmt, dass der Arbeitsraum zuverlässig ist. Google senkte das Risiko, indem er nun die Ordner vor dem Lesen von Konfigurationsdateien explizit als zuverlässig markiert und Umgebungsvariablen und bestimmte Einstellungen für Workflows vorlegte, sowie das Aushärten der Listekontrollen, wenn der CLI mit -yolo ausgeführt wird.
Wenn Sie Gemini CLI in GitHub Actions verwenden, ist die sofortige Aktion, auf korrigierte Versionen zu aktualisieren: installieren @ google / gemini-cli in Versionen, die gleich oder größer sind als die, die den Ausfall korrigieren (die verletzlichen Versionen sind die vom Lieferanten angezeigt) und Updates google-github-Aktionen / run-gemini-cli bis Version 0,1.22 oder später. Überprüfen Sie die Repository-Seite, um die Releases und die Konfigurationsanleitung zu erhalten: google-github-Aktionen / run-gemini-cli und Paket npm @ google / gemini-cli en npm.
Es ist nicht genug zu aktualisieren: Ihre Workflows. Wenn Ihr Fluss nur Eingänge von vertrauenswürdigen Mitarbeitern verarbeitet, können Sie sich für GEMINI _ TRUST _ WORKSPACE: 'true' in der Job-Umgebung entscheiden, aber tun Sie dies nicht, wenn Sie Beiträge von Dritten oder Gabeln akzeptieren. Für unzuverlässige Inputs, folgen Sie dem offiziellen Härtungsführer und behandeln Sie den Workspace als Host: montieren Sie ephemerale Läufer, begrenzen Sie Aktionsberechtigungen mit dem Minimum notwendig, deaktivieren Sie unnötigen Zugriff auf Geheimnisse und verwenden Sie strenge Liste Regeln für alle Funktionen, die Befehle oder Prozesse ausführen.
Darüber hinaus hat Google das Verhalten von --yolo (Selbstgenehmigungsmodus) geändert, so dass die toollist-Richtlinie auch in diesem Modus ausgewertet wird; das verhindert, dass Anrufe zu gefährlichen Funktionen wie Laufen _ Shell _ Befehl ohne Einschränkungen laufen. Die Änderung kann jedoch zu stillen Ausfällen in früheren Workflows führen, so dass es angezeigt ist, die zulässigen Listen zu überprüfen und anzupassen, um die erforderliche Funktionalität zu erhalten, ohne die Sicherheit zu gefährden.
Der Fall von Gemini sollte in Verbindung mit anderen jüngsten Schwachstellen in IA-getriebenen Werkzeugen gelesen werden. Forscher beschrieb auch einen IDE Cursor Vektor, der willkürliche Ausführung durch schädliche schnelle Injektionstechniken und Git Haken innerhalb "embedded" (.git) Repositories erlaubte, zusätzlich zu einem Zugriffskontrollfehler, der lokale Erweiterungen erlaubte, Anmeldeinformationen in SQLite Basen gespeichert zu lesen. Diese Vorfälle verstärken ein Muster: Selbständige, die Git-Operationen oder Systeme, die Erweiterungen Privilegien gewähren, können legitime Funktionen in Angriffsvektoren konvertieren, wenn sie mit schädlichen Repositories oder Paketen kombiniert werden.
Was ist mit diesen Bedrohungen zu tun: zuerst, Patches sofort anwenden und abonnieren Sie Sicherheitshinweise der von Ihnen verwendeten Projekte. Zweitens reduziert es die Angriffsfläche in CI: ephemere Exectors, Arbeitsplatztrennung, manuelle Überprüfung von Forks PRs vor laufenden Workflows, die den Inhalt und das automatisierte Scannen von eingehenden Artefakten verarbeiten. GitHub hält nützliche Empfehlungen zur Wirkungshärtung, die verfolgt werden sollten: Sicherheitsschande für GitHub Aktionen.
Für lokale Entwicklungstools wie Cursor ist die Mindestpraxis nicht, unbekannte Repositories in Umgebungen mit Agenten zu öffnen, die automatisch handeln, zu vermeiden, unzuverlässige Quellerweiterungen zu installieren und den Zugriff von Erweiterungen auf das Dateisystem zu begrenzen. Wenn Sie bereits mit lokalen Geheimnissen oder API-Schlüsseln arbeiten, brechen Sie freigegebene Anmeldeinformationen und verwenden Sie geheime und Service-Account-Manager mit eingeschränkten Privilegien für CI anstelle von persönlichen Token.
Schließlich nimmt es tiefgehende Verteidigungen an: Es integriert statische Analyse und Einheits-Scannen in Ihre Pipeline, ermöglicht Sicherheitsrichtlinien, die Konfigurationsdateien (einschließlich Dotfiles wie .git und .gemini) inspizieren und stellt menschliche Genehmigungsverfahren fest, wenn ein Agent Systemänderungen ausführen wird. Die Bequemlichkeit von IA-Agenten und automatisierten Werkzeugen sollte keine grundlegenden Isolations- und Überprüfungskontrollen ersetzen; Verteidigungssicherheit bleibt der beste Schutz vor versteckten Sprengstoffen in der Lieferkette.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...