Найдена уязвимость в Google Gemini CLI: злоумышленники могли получить контроль над устройствами разработчиков
В начале лета 2025 года исследователи компании Tracebit обнаружили серьёзную уязвимость в новом инструменте Google — Gemini CLI, который был представлен 25 июня. Программа Gemini CLI была разработана для облегчения работы программистов: она позволяет напрямую общаться с искусственным интеллектом Google Gemini через командную строку, анализировать и дополнять код, а иногда даже запускать команды на устройстве пользователя.
Однако, за внешней простотой скрывалась опасная прореха в безопасности. Оказалось, что Gemini CLI способен автоматически исполнять определённые команды, если те находятся в специальном списке разрешённых (allow-list). Исследователи доказали, что в этот список можно было незаметно подложить вредоносные инструкции – например, при помощи обычного файла инструкции readme.md, который часто просматривают разработчики.
В таком случае, вместе с безобидной командой для программы можно было «упаковать» вредоносную, способную, например, передать конфиденциальные данные (учётные записи, переменные окружения) злоумышленнику неведомо куда. Причём Gemini CLI, считая команду надёжной, не предупреждал пользователя и не спрашивал подтверждения на её выполнение. Дополнительно команда могла быть скрыта с помощью хитрого форматирования, чтобы пользователь её не заметил.
Как отмечают специалисты Tracebit, вредоносная команда могла иметь любой характер – от установки удалённого доступа до полного удаления файлов. Да, чтобы провернуть такую атаку, требовалась некоторая подготовка: злоумышленник должен был внести команду в список разрешённых. Но всё же, уязвимость была реальной опасностью для доверчивых и невнимательных разработчиков.
Google официально устранил этот недочёт – патч вышел в версии 0.1.14 Gemini CLI, которую уже можно скачать. Компания советует не запускать эту программу на незнакомых или недоверенных проектах, если только вы не тестируете в безопасной среде.
Google, как всегда, торопился удивить рынок очередной технологией. Новый ИИ-инструмент Gemini CLI оказался приятным сюрпризом для программистов — пока кто-то не задался банальным вопросом о безопасности. Стоило Tracebit проверить продукт, как иглы нашли в стоге сена: прыгающий между строчек кода вредоносный сценарий. Примерно то, что всегда происходит, когда команда разработчиков решает сэкономить время и доверяет машинам чуть больше себя. Компания успела выпустить патч, но всё напоминает старую как мир игру — гонка между скоростью релиза и реальной безопасностью. Вся эта история — типичная вечеринка большого техногиганта: громкий анонс, неожиданный конфуз, техническое недоумение и срочный багфикс задним числом. Кому нужна безопасность, если можно сэкономить пару рабочих дней?
Отдельно порадовало, что атака работала едва ли не по классике жанра: подсовываем скрытый скрипт — забираем доступ. 'Доверять технологиям' у Google всегда значило быть готовым рискнуть всем, что не спрятал трижды под замок. И, конечно, патч вышел буквально через пару дней после инцидента, потому что время репутации — деньги. Магическая кнопка 'Обновить' вновь стала вашей единственной защитой. Для тех, кто верил в промышленных ИИ как в титанов цифрового века — полезно вспомнить, что даже самые умные машины вполне глупы, когда речь идёт о доверии к человеческому коду.
В общем, очередной урок: каких бы размеров ни были компании, человеческая лень и автоматическая наивность ИИ делают совместные чудеса. Взорвём рынок инноваций? Или всё-таки начнём сначала с простого — учиться думать.