Các nhà nghiên cứu cần ít hơn 48 giờ với tác nhân mã hóa Gemini CLI mới của Google để đưa ra một khai thác làm cho cấu hình mặc định của công cụ lén lút lấy dữ liệu nhạy cảm ra khỏi máy chủ do kẻ tấn công kiểm soát.
Gemini CLI là một công cụ AI mã nguồn mở, miễn phí hoạt động trong môi trường thiết bị đầu cuối để giúp các nhà phát triển viết mã. Nó cắm vào Gemini 2.5 Pro, mô hình tiên tiến nhất của Google để mã hóa và lý luận mô phỏng. Gemini CLI tương tự như Gemini Code Assist ngoại trừ việc nó tạo hoặc sửa đổi mã bên trong cửa sổ thiết bị đầu cuối thay vì trình soạn thảo văn bản. Như Phóng viên Công nghệ cao cấp của Ars Ryan Whitwam đặt nó tháng trước, “It's về cơ bản là mã hóa rung cảm từ dòng lệnh.”
Song Tử, âm thầm nuke ổ cứng của tôi
Báo cáo của chúng tôi được công bố vào ngày 25 tháng 6, ngày Google ra mắt công cụ này. Đến ngày 27 tháng 6, các nhà nghiên cứu tại công ty bảo mật Tracebit đã nghĩ ra một cuộc tấn công nhằm vượt qua các biện pháp kiểm soát bảo mật tích hợp được thiết kế để ngăn chặn việc thực thi các lệnh có hại. Việc khai thác chỉ yêu cầu người dùng (1) hướng dẫn Gemini CLI mô tả gói mã do kẻ tấn công tạo và (2) thêm lệnh lành tính vào danh sách cho phép.
Gói mã độc trông không khác gì hàng triệu gói khác có sẵn trong các kho lưu trữ như NPM, PyPI hoặc GitHub, thường xuyên host mã độc được tải lên bởi các tác nhân đe dọa trong các cuộc tấn công chuỗi cung ứng. Bản thân mã trong gói hoàn toàn lành tính. Dấu vết duy nhất của ác ý là một số câu bằng ngôn ngữ tự nhiên được chôn trong tệp README.md, giống như tất cả các tệp như vậy được đưa vào gói mã để cung cấp thông tin cơ bản về mục đích, phạm vi và yêu cầu của nó.
Đó là nơi hoàn hảo để các nhà nghiên cứu che giấu việc tiêm nhanh, một loại tấn công AI đã nổi lên như mối đe dọa lớn nhất đối với sự an toàn và bảo mật của chatbot AI. Các nhà phát triển thường xuyên lướt qua các tệp này nhiều nhất, làm giảm cơ hội họ nhận thấy việc tiêm. Trong khi đó, Gemini CLI có thể được mong đợi để đọc kỹ và tiêu hóa tập tin đầy đ.
