Falha no Gemini CLI do Google permite execução de comandos maliciosos

A vulnerabilidade foi descoberta por pesquisadores de segurança. O ataque exigia que o usuário solicitasse ao Gemini CLI a descrição de um pacote malicioso, incluindo um comando aparentemente inofensivo em uma lista de permissões. Embora o pacote parecesse legítimo — sem qualquer código perigoso visível —, o vetor de ataque estava embutido no arquivo README.md, por meio de uma técnica conhecida como prompt injection.

Ao analisar o pacote, o Gemini CLI lia integralmente o conteúdo do README.md, diferentemente de um ser humano, que normalmente apenas o examina superficialmente. O código injetado instruía a ferramenta a executar um comando que exibia variáveis de ambiente, potencialmente contendo credenciais sensíveis, e enviava essas informações para um servidor controlado pelo invasor.

A execução dos comandos era sequencial, mas apenas o primeiro — um comando grep — era visível para o usuário. Os demais ficavam ocultos por extensos espaços em branco, dificultando sua identificação, mesmo por usuários mais atentos. Segundo os pesquisadores, seria possível executar qualquer comando, incluindo ações destrutivas, como apagar todos os arquivos do sistema ou sobrecarregar os recursos da máquina.

O Google reconheceu a falha e lançou uma correção na versão 0.1.14 do Gemini CLI. Recomenda-se atualizar para essa versão o quanto antes.

O mesmo ataque foi testado contra outras ferramentas semelhantes, como Claude (da Anthropic) e Codex (da OpenAI), mas essas não apresentaram vulnerabilidade ao método.