Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una vulnerabilità critica in Gemini CLI ha esposto pipeline CI/CD a esecuzione di codice malevolo, tramite configurazioni locali non verificate. Il problema, con CVSS 10.0, consentiva ad attaccanti di sfruttare directory .gemini e dati non attendibili come pull request. Google ha corretto il bug introducendo controlli più rigidi.
Gli strumenti basati sull’intelligenza artificiale, stanno gradualmente assumendo un ruolo sempre più centrico nelle attività di routine degli sviluppatori. Ma insieme alla comodità aumentano anche i rischi.
Una singola impostazione non sicura è sufficiente perché l’assistente esegua automaticamente un comando dannoso che può comportare danni ingenti. Le recenti correzioni di Google e le segnalazioni degli esperti dimostrano quanto pericolosi stanno diventando gli scenari negli ambienti di CI/CD e di sviluppo.
Infatti Google ha risolto recentemente una vulnerabilità critica in Gemini CLI che interessava il pacchetto npm @google/gemini-cli e il flusso di lavoro google-github-actions/run-gemini-cli per GitHub Actions. Il problema ha un punteggio CVSS pari a 10.0 ma non ha ancora un identificatore CVE.
Le versioni interessate erano @google/gemini-cli inferiori alla 0.39.1, @google/gemini-cli inferiori alla 0.40.0-preview.3 e google-github-actions/run-gemini-cli inferiori alla 0.1.22.
Secondo Novee Security, un utente malintenzionato esterno senza privilegi potrebbe forzare il caricamento di una configurazione Gemini dannosa da parte dello strumento. I comandi verrebbero quindi eseguiti direttamente sull’host, ancor prima dell’avvio della sandbox.
Il rischio interessava principalmente il flusso di lavoro, in cui la CLI di Gemini veniva eseguita in modalità headless ed elaborava dati non attendibili, come le pull request provenienti da utenti terzi.
Il problema risiedeva nella fiducia automatica nella directory di lavoro corrente negli ambienti CI.
Gemini CLI poteva, senza una opportuna verifica manuale, caricare le impostazioni e le variabili d’ambiente rilevate dalla directory locale .gemini. Un utente malintenzionato quindi, poteva inserire in anticipo file predisposti in quella directory e trasformare la pipeline in un canale di attacco alla catena di fornitura.
Nelle nuove versioni, Google richiede un’esplicita autorizzazione per le directory prima di leggere la configurazione. Per un input affidabile, l’azienda suggerisce di abilitare la variabile GEMINI_TRUST_WORKSPACE e, quando si lavora con codice non attendibile, di rafforzare ulteriormente il flusso di lavoro secondo le raccomandazioni del progetto.
Google ha anche modificato il comportamento della modalità –yolo: il meccanismo delle policy ora considera l’elenco degli strumenti consentiti per impedire l’esecuzione automatica di comandi pericolosi senza supervisione.
Pertanto, gli agenti di intelligenza artificiale in fase di sviluppo non possono più essere considerati assistenti innocui: maggiore è il numero di diritti che un tale strumento riceve, più rigorosi devono essere i limiti della fiducia, i controlli sui dati di input e il controllo su qualsiasi azione automatizzata.
