致命的なGemini CLIの不具合に対するGoogleの修正は、あなたのCI/CDパイプラインを壊すかもしれません
このCVSS 10.0のRCE脆弱性はパッチ済みです。自動的に適用されるケースもあるため、これらのワークフローを確認してください
Gemini CLIを使っているなら注意してください。Googleは、コマンドラインのAIツールにあるCVSS 10.0の脆弱性をパッチし、ヘッドレスモードで実行している人、またはGitHub Actions経由で実行している人に対して、ワークフローを見直すよう警告しています。
Gemini CLIの更新と、GitHub Actionの「run-gemini-cli」は先週公開されたものの、主に見過ごされていました。しかし、水曜に、2つのうちの1つの認定研究チームがその執筆記事を公開したことで、初めて注目を集めました。そこでは、重要で、しかも(おそらく)悪用が容易な欠陥である、過剰に寛容なワークスペースの信頼設定に紐づく問題が修正対象だと説明されています。
GitHub上に公開されたGoogleのアドバイザリによれば、この問題は、Gemini CLIのヘッドレスモード(CI/CD環境で頻繁に使われ、AIエージェントによってますます利用されるようになっています)が、ワークスペースフォルダの信頼をどのように扱うかに起因しています。具体的には、設定ファイルや環境変数を読み込む目的のために、現在有効になっているワークスペースフォルダのすべてを自動的に信頼済みだとみなしてしまいます。
ここで問題が見えるはずだと、私たちは信じています。
Noveeの研究者エラド・メゲド(Elad Meged)は、(Googleが発見者としてもクレジットしている)Pillar SecurityのDan Lisichkinとは独立して、この脆弱性を見つけたと私たちに語りました。彼は、CI/CDサプライチェーン攻撃のベクターを調べている最中に、この問題を特定したとのことです。
返却形式: {"translated": "翻訳されたHTML"}「この脆弱性は、プロンプトインジェクションや、モデルが『悪意のある行動をするように判断した』こととは無関係です」とMegdはメールでThe Registerに伝えました。「問題はインフラ層のもので、攻撃者が制御するコンテンツが、信頼できる設定としてサイレントに受け入れられ、サンドボックスが初期化される前に実行されてしまったのです。」
この問題についてはまだCVEが発行されていませんが、MegdによればGoogleは彼に対し、CVEの割り当て作業が進行中だと確認したとのことです。Noveeもその発見についてバグバウンティを獲得しましたが、いくらだったかは明かしませんでした。
必要な修正だが、後始末は覚悟しておくべき
「Gemini CLIがヘッドレスモードで、信頼できないフォルダ上で実行されるような状況では、潜在的に危険です」とGoogleは説明しました。「信頼できないディレクトリの内容とともに使用すると、ローカルの .gemini/ ディレクトリ内にある悪意のある環境変数を介して、リモートコード実行につながる可能性があります。」
Gemini CLIのインタラクティブモードは挙動が同じではありません。ワークスペースの設定ファイルが読み込まれる前に、ユーザーがフォルダを明示的に信頼する必要があり、今回の更新によってヘッドレスモードがその挙動に足並みをそろえる形になりました。
Gemini CLIのバージョン0.39.1および0.40.0-preview.3には、この対策が組み込まれて出荷されています。ただし注意点があります。run-gemini-cliのGitHub Actionは、ユーザーが特定のバージョンを固定(pin)しない限り、最新のGemini CLIリリースをデフォルトで使います。つまり、CLIバージョンを指定せずにワークフローの一部としてこのGitHub Actionを使っている人は、何らかのクリーンアップが必要になるかもしれません。
- Google、AIコマンドラインのコーディングツールで最初からシェルへ
- GitHub、CLI利用者を望むと望まざるとにかかわらずテレメトリ収集に参加させる
- AIにより、コマンドラインインターフェースはこれまで以上に重要かつ強力になった
- Cursor-Opusエージェントが起業家の本番データベースを駆除する
「以前の、自動的に信頼する挙動に依存しているGitHub Actionsや他の自動化パイプラインは、明示的な信頼メカニズムを使うように更新されるまで、ワークスペース固有の設定を読み込めなくなります」とGoogleは述べています。
さらに、Gemini CLIの --yolo モードに依存していたワークフローも壊れる可能性があります。従来は、細かなツール許可リストをバイパスして、プロンプトなしでエージェントのアクションを自動承認していました。
「以前のバージョンでは、Gemini CLIが --yolo モードで実行されるように設定されていると、細かなツール許可リストは無視されていました」とGoogleはアドバイザリで説明しました。「0.39.1では、Gemini CLIのポリシーエンジンが --yolo モード下でもツールの許可リストを評価するようになりました……その結果、この挙動に以前依存していた一部のワークフローは、タスクに合わせてツール許可リストを変更しない限り、サイレントに失敗する可能性があります。」
バージョンを指定する人は、Googleによれば、新しく最も安全なバージョンを実行できるように変更し、どのみちそれらのワークフローを修正できるよう準備しておくべきです。
要するに、「やるなら地獄、やらないなら地獄」ということですが、修正は必要です。クレジットされている発見者の一人であるNovee Securityの関係者が説明しているとおりです。Noveeが脆弱性を検証したあらゆるワークフローで、同社は結果が壊滅的に同じだったと指摘しています。
「エージェントを実行しているホストでのコード実行により、非特権の外部者に対して、ワークフローが到達できるあらゆる秘密情報、資格情報、そしてソースコードへのアクセスが可能になりました」とNoveeチームは説明しました。「トークン窃取、サプライチェーン上での迂回(ピボット)、そして下流システムへの横方向移動を行うのに十分です。」
要するに、Googleが提案するように対応するか、リスクが完全に理解されるまでAIエージェントをセンシティブな環境に置くのは避けてください。 ®
