SchwachstellenSupply-Chain-SicherheitKI-Sicherheit

Kritische Sicherheitslücke in Gemini CLI: Code-Ausführung auf Host-Systemen möglich

Von CyberDeutsch Redaktion
Kritische Sicherheitslücke in Gemini CLI: Code-Ausführung auf Host-Systemen möglich
Zusammenfassung

Sicherheitsforscher haben eine kritische Sicherheitslücke in Gemini CLI entdeckt, einem Open-Source-Tool von Google, das KI-gestützte Agenten direkt vom Terminal aus zugänglich macht. Die Schwachstelle ermöglichte es Angreifern, beliebige Befehle auf dem Host-System auszuführen, noch bevor die Sandbox-Umgebung aktiviert wurde. Das Problem lag darin, dass Gemini CLI automatisch jede Konfigurationsdatei im Arbeitsverzeichnis vertraut und lädt, ohne diese zu überprüfen oder eine Genehmigung einzufordern. Ein Angreifer hätte somit eine bösartige Konfiguration platzieren können, um Zugriff auf sensible Daten wie Zugriffstoken, Anmeldedaten und Quellcode zu erlangen. Besonders besorgniserregend ist das Potenzial für Supply-Chain-Attacken: Da KI-Agenten zunehmend in CI/CD-Pipelines integriert sind und dort die Ausführungsrechte eines vertrauenswürdigen Entwicklers besitzen, hätte ein Angreifer die gesamte Lieferkette eines Softwareprojekts kompromittieren können. Google hat die Lücke inzwischen in Gemini CLI und der entsprechenden GitHub Action gepatcht. Deutsche Entwickler und Unternehmen, die diese Tools nutzen, sollten Updates priorisieren, um das Risiko von Datenverlust und unbefugtem Zugriff zu minimieren.

Die jüngst geschlossene Lücke in Gemini CLI verdeutlicht ein wachsendes Sicherheitsrisiko im Bereich KI-gestützter Entwicklungswerkzeuge. Das Tool, das Entwicklern direkten Terminal-Zugang zu Googles Gemini AI bietet, vertraute automatisch jeder Konfiguration im aktuellen Arbeitsverzeichnis — ohne Überprüfung, Sandboxing oder manuelles Freigeben durch den Nutzer.

Auch bei der GitHub Action für Gemini CLI lag das gleiche Problem vor. Ein Threat Actor hätte die Schwachstelle ausnutzen können, um Umgebungsvariablen, Credentials und Tokens zu stehlen. In CI/CD-Pipelines — wo solche Agents oft mit erweiterten Berechtigungen laufen — hätte dies zu klassischen Supply-Chain-Attacken geführt.

Die Forscher von Novee Security warnen explizit vor dieser Konstellation: “AI-Coding-Agents sitzen nun in CI/CD-Pipelines und halten die Ausführungsrechte eines vertrauenswürdigen Contributors. Sie lesen aus denselben Workspaces, die auch echte Entwickler anfassen. Dieses Zugriffsniveau kann zu kritischen Supply-Chain-Angriffen führen, die direkt aus dem Developer-Workflow selbst entstehen.”

Das besondere Risiko liegt darin, dass die Sicherheitslücke nicht durch Prompt Injection oder fehlerhafte KI-Entscheidungen entstand, sondern durch fehlerhafte Vertrauenskonfiguration. Ein Angreifer benötigte lediglich die Möglichkeit, eine Datei in ein Arbeitsverzeichnis zu schreiben — etwa über einen Pull Request oder einen Commit in einem kompromittierten Repository.

Deutsche Organisationen sollten sofort prüfen, ob sie Gemini CLI oder die betroffene GitHub Action in ihren Workflows einsetzen und diese auf den aktuellen, gepatchten Stand aktualisieren. Das BSI empfiehlt regelmäßig, Open-Source-Abhängigkeiten zu inventarisieren und Updates zeitnah einzuspielen. Besonders kritisch ist dies bei Tools mit direktem Zugriff auf Credentials und Source Code.

Der Vorfall unterstreicht auch eine grundsätzliche Herausforderung: Während KI-Agenten zunehmend in Entwicklungsprozesse integriert werden, wächst das Angriffsflächenpotenzial exponentiell. Unternehmen sollten solche Tools nicht unkontrolliert in ihre Pipelines integrieren, sondern strenge Richtlinien für Sandboxing, Approval-Prozesse und Monitoring etablieren.

Ähnliche Artikel