Google vydal opravu pro vážnou chybu v nástroji Gemini CLI. Bezpečnostní experti odhalili, že útočníci mohli zneužít prompt injection k provedení škodlivých příkazů, aniž by si toho uživatel všiml. Problém se objevil do 48 hodin od spuštění nástroje.
Útočníci schovávali škodlivé příkazy za neškodně vypadající řádky, často s využitím dlouhých mezer. Gemini CLI tak zobrazoval pouze „čistou“ část příkazu, zatímco zbytek – například odesílání systémových proměnných na cizí server – proběhl bez upozornění.
README jako zbraň
Klíčem k útoku byla přítomnost upraveného README.md souboru v balíčku kódu. Gemini CLI tento soubor automaticky čte, aby pochopil projekt. Zneužitím této funkce dokázali výzkumníci podstrčit příkazy, které nástroj sám provedl, včetně připojení ke vzdálenému serveru a exportu citlivých dat.
Šlo o kombinaci více slabin: slabé ověřování příkazů, zmatečný výpis ve výstupu nástroje a důvěřivost AI modelu. Jakmile uživatel jednou přidal neškodný příkaz jako grep do seznamu povolených, mohl útočník připojit nebezpečné příkazy za něj – například env | curl.
AI, která se chce zavděčit
Prompt injection zneužívá i přirozenou tendenci modelů „být užitečné“. README obsahovalo instrukce, které Gemini přijal jako důležité systémové kroky. Příkazy vypadaly jako „pomoc uživateli“, ale ve skutečnosti vedly k exfiltraci dat.
Výzkumníci upozornili, že pomocí stejného postupu lze spustit i extrémně nebezpečné příkazy typu rm -rf / nebo tzv. fork bombu. „To je přesně to, co mě na tom děsí,“ uvedl Sam Cox ze společnosti Tracebit.
Oprava je venku, ale riziko trvá
Google klasifikoval zranitelnost jako Prioritu 1 a Závažnost 1 – tedy nejvyšší stupeň hrozby. Minulý týden vydal opravenou verzi Gemini CLI 0.1.14. Uživatelé by měli neprodleně aktualizovat a spouštět nedůvěryhodné kódy pouze v sandboxu.
Zatímco nástroje od OpenAI nebo Anthropic podobnou slabinu neobsahují, případ Gemini ukazuje, jak snadno mohou AI asistenti podlehnout pečlivě skrytým útokům. A jak rychle se důvěra v automatizaci může obrátit proti samotným vývojářům.
