Pesquisadores de segurança identificaram recentemente uma vulnerabilidade crítica de execução remota de código (RCE) no Gemini CLI, um agente de IA open source projetado para oferecer acesso leve ao Gemini diretamente via terminal.

A falha, já corrigida pelo Google tanto no Gemini CLI quanto na ação “run-gemini-cli” do GitHub, foi descoberta pela equipe da Novee Security.

De acordo com os pesquisadores, o problema estava no modelo de confiança adotado pela ferramenta. O Gemini CLI tratava automaticamente a pasta de trabalho atual como confiável, carregando qualquer configuração de agente presente nesse diretório sem validação, sandboxing ou aprovação do usuário.

Nesse cenário, um invasor que conseguisse inserir uma configuração maliciosa na pasta poderia induzir o agente de IA a executar comandos arbitrários no host antes mesmo da inicialização do ambiente isolado (sandbox).

O impacto, segundo a Novee, era significativo: a execução de código no host permitiria que um agente externo, mesmo sem privilégios elevados, tivesse acesso a credenciais, tokens, segredos e código-fonte disponíveis no ambiente afetado.

Os pesquisadores também destacam que a vulnerabilidade poderia ser explorada para movimentação lateral dentro da infraestrutura, ampliando o alcance do ataque para sistemas downstream.

Em ambientes que utilizam pipelines de CI/CD, o risco se torna ainda mais crítico. Um atacante poderia explorar a falha para conduzir ataques à cadeia de suprimentos, comprometendo processos automatizados de build, integração e deploy.

“Agentes de IA para desenvolvimento já operam dentro de pipelines de CI/CD com privilégios equivalentes aos de um colaborador confiável, acessando os mesmos workspaces. Esse nível de acesso pode viabilizar ataques críticos à cadeia de suprimentos, originados diretamente no fluxo de trabalho do desenvolvedor”, destacaram os pesquisadores.

Vale ressaltar que o ataque não envolvia técnicas de prompt injection nem decisões do modelo de IA, mas sim uma falha na forma como o ambiente era configurado e validado.

Em paralelo, outro estudo recente demonstrou que agentes de IA associados a ferramentas como Claude Code Security Review, Gemini CLI Action e GitHub Copilot Agent também podem ser comprometidos por meio de comentários maliciosos no GitHub, ampliando o debate sobre os riscos de segurança no uso de agentes de IA integrados ao desenvolvimento de software.

A correção já foi disponibilizada, e a recomendação é que organizações revisem urgentemente o uso dessas ferramentas, reforcem controles em pipelines de CI/CD e adotem validações rigorosas de configurações e entradas externas.

Para saber mais, clique aqui.