SchwachstellenSupply-Chain-SicherheitKI-Sicherheit

Kritische Sicherheitslücke in Google Gemini CLI hätte Supply-Chain-Angriffe ermöglicht

Von CyberDeutsch Redaktion
Kritische Sicherheitslücke in Google Gemini CLI hätte Supply-Chain-Angriffe ermöglicht
Zusammenfassung

Eine kritische Sicherheitslücke in Gemini CLI hätte Angreifern die Möglichkeit gegeben, Lieferketten-Anschläge durchzuführen. Die von Google entwickelte Open-Source-Anwendung ermöglicht den Zugriff auf Googles Gemini AI-Assistent direkt aus dem Terminal. Das Sicherheitsproblem mit der Höchstbewertung von 10,0 auf der CVSS-Skala entstand, weil Gemini CLI im „–yolo"-Modus automatisch alle Sicherheitsvorkehrungen ignorierte und jeden Befehl ausführte. Angreifer hätten malware-haltige Prompts in öffentlichen GitHub-Issues verstecken können, um so die KI-Agenten zu übernehmen, die automatisch solche Issues triagieren. Dadurch hätten sie Zugriff auf sensible Daten und Zugriffstoken erhalten, um beliebigen Code in Repositories einzuschleusen. Google reparierte die Lücke am 24. April in Version 0.39.1. Besonders für deutsche Entwickler und Unternehmen, die auf Open-Source-Tools und automatisierte CI/CD-Pipelines setzen, ist dies relevant: Die Schwachstelle hätte ihre gesamte Infrastruktur und Codebestände gefährden können. Auch acht weitere Google-Repositories waren betroffen, was die Reichweite dieses Risikos unterstreicht.

Die Gefahr lauerte in einem vermeintlich harmlosen Modus: Im sogenannten “–yolo Mode” ignorierte Gemini CLI die Sicherheitsrichtlinien für Tool-Aufrufe komplett. Das bedeutet, dass alle Befehle automatisch genehmigt wurden, ohne menschliche Kontrolle oder Validierung. Angreifer hätten diese Lücke ausnutzen können, um indirekte Prompt-Injektionen über GitHub-Issues durchzuführen.

Das Angriffszenario war perfide durchdacht: Ein Angreifer hätte eine öffentliche Issue in einem Google-Repository erstellen und darin versteckte bösartige Prompts einbetten können. Der KI-Agent, der automatisch Issues triagieren sollte, hätte diese Anweisungen ohne Überprüfung ausgeführt. Mit der richtigen Prompt-Formulierung hätte der Agent interne Geheimnisse aus der Build-Umgebung extrahieren und an einen von Angreifern kontrollierten Server übermitteln können.

Von dort aus wäre der Weg zu vollständiger Kontrolle kurz gewesen: Mit gestohlenen Zugangsdaten hätten Angreifer Token mit vollständiger Schreib-Zugriff auf das Repository erhalten. Anschließend wäre beliebiger Code in den Main-Branch von Gemini CLI eingespielt worden – und von dort in jeden nachgelagerten Nutzer geflossen. Eine klassische Supply-Chain-Kompromittierung.

Parallel zur Hauptschwachstelle gab es ein zweites Sicherheitsproblem im Headless-Mode: Gemini CLI vertraute automatisch dem aktuellen Arbeitsverzeichnis und lud jede darin befindliche Konfiguration oder Umgebungsvariable. Dies hätte es Angreifern ermöglicht, Credentials, Secrets und Quellcode über vulnerable CI-Workflows abzugreifen.

Googles Patch in Version 0.39.1 führte Tool-Allowlisting auch im –yolo Mode ein und behob das Vertrauensproblem im Headless-Mode. Auch die GitHub Action für Gemini CLI wurde entsprechend aktualisiert. Dass mindestens acht weitere Google-Repositories das anfällige Workflow-Template nutzten, macht deutlich: Solche Probleme sind systemisch, nicht isoliert.

Für Unternehmen und Entwickler gilt die Lehre: Automatisierte KI-Agenten benötigen strikte Sicherheitsgrenzen, unabhängig vom gewählten Betriebsmodus. Open-Source-Dependencies erfordern permanente Aufmerksamkeit – ein Update kann den Unterschied zwischen Sicherheit und vollständiger Kompromittierung ausmachen.

Ähnliche Artikel