Den Kern des Angriffs bildet eine indirekte Prompt Injection: Schädliche Anweisungen werden im Text eines öffentlich angelegten GitHub-Issues versteckt. Da Gemini CLI im –yolo-Modus alle Tool-Aufrufe ohne Rückfrage genehmigte, konnte der zur automatischen Triage vorgesehene KI-Agent durch diese eingeschleusten Instruktionen gekapert werden.
Anhand der injizierten Anweisungen hätte der Agent laut Pillar Security interne Geheimnisse aus der Build-Umgebung auslesen und an einen vom Angreifer kontrollierten Server senden können. Aus diesen Zugangsdaten lasse sich anschließend ein Token mit vollem Schreibzugriff auf das Repository gewinnen, so das Unternehmen.
„Vollständige Kompromittierung der Lieferkette. Der Angreifer kann beliebigen Code in den Hauptzweig des gemini-cli-Repositorys schieben, der dann an jeden nachgelagerten Nutzer ausgeliefert wird“, schreibt Pillar Security. Nach Angaben der Sicherheitsfirma war dieselbe verwundbare Workflow-Vorlage in mindestens acht weiteren Google-Repositories im Einsatz.
Google behob die Schwachstelle am 24. April in Gemini CLI Version 0.39.1, die die Freigabelisten für Tools nun auch im –yolo-Modus auswertet. Auch die GitHub-Action run-gemini-cli wurde aktualisiert.
Zusätzlich zum Problem mit den Tool-Freigabelisten beseitigte das Update ein Vertrauensproblem im Headless-Modus von Gemini CLI. Dort vertraute das Werkzeug automatisch dem aktuellen Arbeitsverzeichnis und lud jede darin enthaltene Konfiguration oder Umgebungsvariable. Dies hätte Angreifern Zugriff auf Zugangsdaten, Geheimnisse und Quellcode über anfällige CI-Workflows verschaffen können – mit der Möglichkeit weiterer Lieferketten-Angriffe.