Google ujawnia poważną lukę. Twoje dane mogły trafić do sieci

Nowy krytyczny błąd w narzędziu Google Gemini CLI mógł narazić tysiące użytkowników na kradzież danych i nieautoryzowane wykonanie poleceń. 

Luka została wykryta przez ekspertów z Tracebit zaledwie dwa dni po premierze narzędzia i przez ponad miesiąc pozostawała otwarta na ataki. Google już ją załatało, ale incydent rodzi pytania o bezpieczeństwo narzędzi AI.

Wybrane okazje dla Ciebie

Reklama

Ładowarka sieciowa GOGEN ACHPD230 30W Czarny

0 zł

49.99 zł - najniższa cena

Kup teraz 49.99 zł

Szkło hybrydowe 3MK FlexibleGlass do Apple iPhone 16e

0 zł

33.99 zł - najniższa cena

Kup teraz 33.99 zł

Smycz do telefonu 3MK EasyClip Ciemnoniebieski

0 zł

59.99 zł - najniższa cena

Kup teraz 59.99 zł

Smartwatch BEMI Ter 2 Czarno-szary

-5 zł

149 zł - najniższa cena

Kup teraz 144 zł

Luka pozwalała atakującym na ukrycie złośliwych poleceń w plikach README.md, wykorzystywanych przez Gemini CLI do analizy kodu. Dzięki manipulacji znakami, niebezpieczne instrukcje były niewidoczne dla użytkownika.

Atak opierał się na “prompt injection” i błędach walidacji poleceń. Wystarczyło, by użytkownik wydał niewinne polecenie, które atakujący podmieniał na groźniejszą komendę.

W efekcie środowiskowe zmienne, często zawierające klucze API czy hasła, mogły być przesyłane na zdalny serwer bez wiedzy użytkownika. Atak nie był wykrywany przez interfejs CLI.

Google zareagowało po miesiącu, podnosząc priorytet błędu do najwyższego i wydając poprawkę w wersji 0.1.14. Nowa wersja wymusza potwierdzenie wszystkich poleceń i informuje o potencjalnych zagrożeniach.

Eksperci zalecają natychmiastową aktualizację oraz korzystanie z trybu sandbox przy pracy z nieznanym kodem. To ostrzeżenie dla wszystkich, którzy korzystają z narzędzi AI.