Im Zentrum der von Novee Security gemeldeten Schwachstelle steht ein Vertrauensproblem: Gemini CLI lud Agenten-Konfigurationen aus dem aktuellen Arbeitsverzeichnis automatisch und ohne jede Kontrolle. „Gemini CLI vertraute dem aktuellen Arbeitsverzeichnis automatisch und lud jede dort gefundene Agenten-Konfiguration ohne Prüfung, Sandboxing oder menschliche Freigabe“, so die Forscher.
Ein Angreifer, der eine bösartige Konfiguration in diesem Ordner unterbringen konnte, war damit in der Lage, den KI-Agenten zur Ausführung beliebiger Befehle auf dem Host zu bewegen – und zwar noch bevor die Sandbox initialisiert wurde. Der Angriff benötigte dazu weder eine Prompt Injection noch eine Entscheidung des Sprachmodells.
Die Auswirkungen beschreiben die Forscher als über alle betroffenen Arbeitsabläufe hinweg identisch: Die Codeausführung auf dem Host habe einem nicht privilegierten Außenstehenden Zugriff auf sämtliche Geheimnisse, Zugangsdaten und Quellcodes verschafft, die der jeweilige Workflow erreichen konnte. Daraus ließen sich laut Novee Tokens entwenden und seitliche Bewegungen zu nachgelagerten Systemen durchführen.
Besonders kritisch wird die Lücke in CI/CD-Pipelines. Dort hätte ein Angreifer sie für einen Supply-Chain-Angriff nutzen können. „KI-Coding-Agenten sitzen inzwischen in CI/CD-Pipelines und verfügen über die Ausführungsrechte eines vertrauenswürdigen Mitwirkenden, während sie aus denselben Arbeitsverzeichnissen lesen, die auch ein Mitwirkender berühren würde“, erklärten die Forscher. Dieses Maß an Zugriff könne zu kritischen Supply-Chain-Angriffen führen – jener Art, die aus dem Entwicklungsworkflow selbst hervorgeht.
Google hat die Schwachstelle sowohl in Gemini CLI als auch in der GitHub-Action „run-gemini-cli“ behoben.
Der Fall reiht sich in weitere Untersuchungen zu KI-Agenten ein: Ein anderes Forscherteam zeigte kürzlich, dass sich KI-Agenten im Umfeld von Claude Code Security Review, der Gemini CLI Action und dem GitHub Copilot Agent über manipulierte GitHub-Kommentare kapern lassen.