天气 
2025-07-29
IT之家 7 月 29 日消息,科技媒体 bleepingcomputer 昨日(7 月 28 日)发布博文,报道称谷歌 Gemini 命令行界面(CLI)存在安全漏洞,若被黑客利用可以悄无声息地执行恶意命令,并从开发者的电脑中窃取数据。
安全公司 Tracebit 于 2025 年 6 月 27 日发现并向谷歌报告了该问题,随后谷歌在 7 月 25 日发布的版本 0.1.14 中修复了这个问题。
IT之家注:Gemini CLI 是由谷歌开发的命令行界面工具,于 2025 年 6 月 25 日首次发布,支持开发者直接在终端上与谷歌的 Gemini AI 进行交互。
这个工具旨在帮助开发者处理与编码相关的任务,通过将项目文件加载到“上下文”中,然后使用自然语言与大型语言模型(LLM)互动。
该工具可以提供建议、编写代码,甚至本地执行命令。它要么先提示用户,要么通过使用白名单机制来执行这些命令。Tracebit 研究人员在工具发布后立即进行了探索,发现它可能被诱骗执行恶意命令。
攻击者通过利用 Gemini CLI 处理“上下文文件”的方式,特别是读取 'Readme.md' 和 'Gemini.md' 文件,来帮助理解代码库。Tracebit 发现可以在这些文件中隐藏恶意指令进行提示注入,而命令解析和白名单处理的不完善则为恶意代码执行提供了机会。
Tracebit 通过设置一个包含良性 Python 脚本和被污染的 'Readme.md' 文件的仓库,并对其触发 Gemini CLI 扫描来演示攻击。Gemini 首先被指示运行一个良性命令,然后运行一个被视为信任动作的恶意数据窃取命令,而不会提示用户批准。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。
来源于:https://www.ithome.com/0/871/467.htm 如有侵权请联系我们
猜你喜欢
2025-07-04
全新上汽奥迪A5L Sportback开...
全新上汽奥迪A5LSportback开启预售,分为5款车型,豪华型、尊享quattro型、首发限量版,以及标配华为乾崑智驾技术的智领型和智领quattro型,限...
READ MORE
2025-07-01
香港回归祖国28周年 同心携手创辉煌
6月30日,香港体育馆举办了庆祝香港回归祖国28周年的活动启动仪式。此次活动主题为“同心携手创辉煌 由治及兴谱新篇”。 香港特区行政长官李家超在启动礼上致辞表示...
READ MORE
2025-06-27
DOTA2青训计划开启,迎接赛事黄金时代
在CNDOTA2电竞生态即将迎来变革的2025年,XG老板杨一清正在以破釜沉舟的姿态重塑人才培养体系,于6月26日与亚运冠军教练张志成...
READ MORE
2025-06-27
《神奇4侠》曝终极预告 神奇先生×隐形女...
6月26日,MCU漫威电影宇宙第六阶段开篇作《神奇4侠:初露锋芒》(TheFantasticFour:FirstSteps)发布终极预告及海报,由马特·沙克曼执...
READ MORE
2025-07-04
无主之地4真会玩!成都郑州北京彩蛋接连整...
众所周知,无主之地系列一直是国内玩家的忠实“舔狗”,三代在2019年就上了全中文配音,国区定价全球最低,四代也是同款套餐跟上!
READ MORE最新发布
-
全新上汽奥迪A5L Sportback开启预售 限时臻享26...
综合新闻, 2025-07-04 -
香港回归祖国28周年 同心携手创辉煌
综合新闻, 2025-07-01 -
DOTA2青训计划开启,迎接赛事黄金时代
综合新闻, 2025-06-27 -
《神奇4侠》曝终极预告 神奇先生×隐形女宝宝亮相
综合新闻, 2025-06-27 -
无主之地4真会玩!成都郑州北京彩蛋接连整活,上海BW终极一“...
综合新闻, 2025-07-04
