O Google corrigiu uma vulnerabilidade crítica em Gemini CLI (o pacote npm @google/gemini-cli) e no fluxo de trabalho do GitHub Actions google-github-actions/run-gemini-cli que permitia executar comandos arbitrários no sistema anfitrião quando a ferramenta era usada em modo headless dentro da CI. A raiz do problema foi uma confiança implícita na pasta de trabalho: em versões afetadas a CLI carregava configurações e variáveis de ambiente desde .gemini/ sem validação quando corria em ambientes automatizados, o que abria a porta a que conteúdo malicioso plantado por um atacante fosse tratado como configuração legítima e detonaria execução remota de código.
O defeito, qualificado com uma severidade máxima (CVSS 10.0) por pesquisadores externos, exemplifica como um atalho de usabilidade em pipelines automatizados torna-se um vetor de ataque da cadeia de fornecimento: análise de pull requests, forks ou conteúdos de terceiros podem se tornar armadilhas se uma ferramenta assume que o workspace é confiável. O Google mitigou o risco obrigando agora a marcar explicitamente as pastas como confiáveis antes de ler arquivos de configuração e propondo variáveis de ambiente e configurações concretas para workflows, além de endurecer as verificações de allowlist quando a CLI é executada com --yolo.
Se você usa Gemini CLI no GitHub Actions, a ação imediata é atualizar para versões corrigidas: instala @google/gemini-cli em versões iguais ou superiores às que corrigem a falha (as versões vulneráveis são as indicadas pelo fornecedor) e atualizam google-github-actions/run-gemini-cli à versão 0.1.22 ou posterior. Verifique a página do repositório para obter as releases e o guia de configuração: google-github-actions/run-gemini-cli e o pacote npm @google/gemini-cli em npm.
Não basta actualizar: audita seus workflows. Se o seu fluxo processar apenas entradas de colaboradores de confiança, você pode optar por estabelecer GEMINI_TRUST_WORKSPACE: 'true' no ambiente do job, mas não o faça se você aceita contribuições de terceiros ou forks. Para inputs não confiáveis, segue o guia oficial de endurecimento e trata o workspace como hostile: monta runners efêmeros, limita permissões de Actions com o mínimo necessário, deshabilita acesso desnecessário a secrets e emprega regras rigorosas de allowlist para qualquer funcionalidade que execute comandos ou processos.
Além disso, o Google mudou o comportamento de --yolo (modo de auto-aprovação) para que a política de allowlist de ferramentas também se avalie nesse modo; isso evita que chamadas a funções perigosas como run_shell_command sejam executadas sem restrições. No entanto, a mudança pode provocar falhas silenciosas em workflows anteriores, pelo que convém rever e ajustar as allowlists para manter a funcionalidade requerida sem sacrificar segurança.
O caso de Gemini deve ser lido em conjunto com outras vulnerabilidades recentes em ferramentas impulsionadas por IA. Pesquisadores também descreveram um vetor em Cursor IDE que permitiu execução arbitrária através de técnicas de prompt injection e hooks Git maliciosos dentro de repositórios “embebidos” (.git), além de uma falha de controle de acesso que permitia a extensões locais ler credenciais armazenadas em bases SQLite. Esses incidentes reforçam um padrão: os agentes autônomos que realizam operações Git ou sistemas que concedem privilégios a extensões podem converter características legítimas em vetores de ataque quando combinados com repositórios ou pacotes maliciosos.
O que fazer frente a estas ameaças: em primeiro lugar, Aplicação de adesivos imediatamente Inscreva-se a avisos de segurança dos projetos que você usa. Em segundo lugar, reduz a superfície de ataque em CI: executores efêmeros, separação de permissões por job, revisão manual de PRs de forks antes de executar workflows que processam o conteúdo e digitalização automatizado de artefatos entrantes. O GitHub mantém recomendações úteis sobre o endurecimento de Actions que convém seguir: Security hardening for GitHub Actions.
Para ferramentas de desenvolvimento locais como Cursor, a prática mínima é não abrir repositórios desconhecidos em ambientes com agentes que actuem automaticamente, evitar instalar extensões de origem não fiáveis e limitar o acesso das extensões ao sistema de ficheiros. Se você já trabalha com segredos locais ou chaves API, rota credenciais expostas e usa gestores de segredos e contas de serviço com privilégios limitados para CI em vez de tokens pessoais.
Finalmente, adota defesas em profundidade: integra análise estática e digitalização de dependências em sua pipeline, habilita políticas de segurança que inspeccionem arquivos de configuração (incluindo dotfiles como .git e .gemini), e estabelece procedimentos de aprovação humana quando um agente vai executar mudanças no sistema. A conveniência dos agentes da IA e das ferramentas automatizadas não deve substituir controlos básicos de isolamento e revisão; a segurança defensiva continua a ser a melhor proteção contra exploits encobertos na cadeia de abastecimento.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...