Google修复Gemini CLI严重漏洞，或导致CI/CD流水线中断

如果你正在使用Gemini CLI，请务必注意：谷歌已修复其命令行AI工具中一个CVSS评分高达10.0的严重漏洞，并提醒所有在无头模式下运行该工具，或通过GitHub Actions使用该工具的用户，及时审查相关工作流。

上周，针对Gemini CLI及run-gemini-cli GitHub Action的安全更新已正式发布。该更新在很大程度上未引起广泛关注，直到两支受到谷歌致谢的研究团队之一于本周三发布了详细分析报告后，才逐渐进入公众视野。此次更新修复了一个与过度宽松的工作区信任设置相关的严重漏洞，该漏洞显然极易被利用。

根据谷歌发布在GitHub上的安全公告，该问题源于Gemini CLI无头模式处理工作区文件夹信任机制的方式。无头模式常被用于CI/CD环境，并被越来越多的AI智能体所采用，它会自动将所有当前激活的工作区文件夹视为可信，并据此加载配置文件和环境变量。

这其中潜藏的风险显而易见。

Novee公司研究员Elad Meged在研究CI/CD供应链攻击向量时发现了这一漏洞。他告诉我们，此次发现与Pillar Security公司的Dan Lisichkin相互独立，后者同样获得谷歌的致谢。

Meged通过电子邮件向我们表示："这个漏洞与提示词注入或模型'决定'实施恶意行为毫无关系。这是一个基础设施层面的问题，攻击者控制的内容在未经任何沙箱初始化的情况下，被系统静默地接受为可信配置并直接执行。"

该漏洞目前尚未被分配CVE编号，但Meged表示谷歌已确认正在处理此事。Novee也因此次发现获得了漏洞奖励，但拒绝透露具体金额。

谷歌在公告中解释称："在Gemini CLI以无头模式运行于不受信任文件夹的情况下，存在潜在风险。如果该工具处理了不受信任的目录内容，攻击者可通过本地.gemini/目录中的恶意环境变量实现远程代码执行。"

相比之下，Gemini CLI的交互模式并不存在同样的问题：它要求用户在加载工作区配置文件前显式授予文件夹信任权限。此次更新正是将无头模式的行为与交互模式保持一致。

相关修复已在Gemini CLI 0.39.1和0.40.0-preview.3版本中推出。但问题在于：run-gemini-cli GitHub Action在用户未指定特定版本时，默认使用最新版本的Gemini CLI。换言之，任何在工作流中未锁定CLI版本的用户，可能都需要对其工作流进行相应调整。

谷歌表示："依赖此前自动信任行为的GitHub Actions及其他自动化流水线，在更新为使用显式信任机制之前，将无法加载工作区特定设置。"

此次更新还可能导致依赖Gemini CLI --yolo模式的工作流出现中断。该模式此前会绕过细粒度工具许可名单，并在不提示用户的情况下自动批准智能体操作。

谷歌在公告中解释："在旧版本中，当Gemini CLI配置为以--yolo模式运行时，会忽略所有细粒度工具许可名单。在0.39.1版本中，Gemini CLI策略引擎现在会在--yolo模式下评估工具许可名单……因此，部分此前依赖此行为的工作流可能会在未作任何提示的情况下静默失败，除非对工具许可名单进行相应修改。"

谷歌建议，已锁定特定版本的用户，也应主动调整配置以使用最新的安全版本，并做好修复工作流的准备。

可以说，无论采取何种措施都难以完全回避影响，但此次修复是必要之举。Novee Security的研究人员在其负责发现的这一漏洞上，对多个工作流进行了测试，结果触目惊心，无一例外。

Novee团队解释称："在运行智能体的宿主机上执行代码，使一名无特权的外部攻击者得以访问工作流所能触达的所有敏感信息，包括密钥、凭据和源代码，足以实施Token窃取、供应链横向渗透，以及对下游系统的进一步攻击。"

简而言之：请按照谷歌的建议及时采取行动，或者在充分评估风险之前，避免将AI智能体部署于敏感环境中。

Q&A

Q1：Gemini CLI这次修复的漏洞具体是什么问题？

A：此次修复的漏洞CVSS评分为10.0（最高级别），根源在于Gemini CLI无头模式对工作区文件夹的信任机制过于宽松。该模式会自动将所有活动工作区文件夹视为可信，并加载其中的配置文件和环境变量，攻击者可借此在本地.gemini/目录中植入恶意环境变量，从而实现远程代码执行，进而窃取密钥、凭据及源代码等敏感信息。

Q2：Gemini CLI漏洞修复后，现有的CI/CD工作流会受到哪些影响？

A：修复版本（0.39.1及0.40.0-preview.3）上线后，原本依赖自动工作区信任行为的GitHub Actions及自动化流水线将无法正常加载工作区配置，需更新为显式信任机制。此外，--yolo模式的行为也发生变化，该模式下现在会执行工具许可名单校验，部分依赖原有行为的工作流可能出现静默失败，需手动调整许可名单配置。

Q3：用户应如何应对Gemini CLI的这次安全更新？

A：建议用户尽快升级至Gemini CLI 0.39.1或0.40.0-preview.3版本，并审查现有工作流是否依赖旧版的自动信任行为或--yolo模式。使用run-gemini-cli GitHub Action时，应明确锁定版本号，并根据新版策略要求更新工具许可名单。在充分理解风险之前，建议避免将AI智能体部署于包含敏感凭据或源代码的环境中。