ثغرة خطيرة في Gemini CLI سمحت بتنفيذ أوامر على النظام وهجمات على سلسلة الإمداد

يمكن للمهاجم زرع إعدادات خبيثة تؤدي إلى تنفيذ أوامر خارج البيئة المعزولة (Sandbox).

اكتشف الباحثون ثغرة خطيرة من نوع تنفيذ أوامر عن بُعد (Remote Code Execution) في أداة Gemini CLI، وهي وكيل ذكاء اصطناعي مفتوح المصدر صُمم لتوفير وصول خفيف إلى نموذج Gemini مباشرة من سطر الأوامر (Terminal).

تم إصلاح الثغرة من قبل شركة Google في كل من Gemini CLI وملحق GitHub Action المعروف باسم “run-gemini-cli”، وقد اكتشفها باحثون في شركة Novee Security.

وذكر الباحثون أن “أداة Gemini CLI كانت تثق تلقائيًا بالمجلد الحالي للعمل (workspace)، وتقوم بتحميل أي إعدادات وكيل (agent configuration) موجودة فيه دون مراجعة أو عزل أو موافقة بشرية”.

هذا السلوك كان يسمح للمهاجم بزرع ملف إعدادات خبيث داخل المجلد، مما يؤدي إلى تنفيذ أوامر عشوائية على الجهاز المضيف قبل تفعيل نظام العزل (Sandbox).

وأوضح الباحثون في Novee Security أن:

“في جميع بيئات العمل المتأثرة، كانت النتيجة واحدة: تنفيذ كود على الجهاز المضيف الذي يشغّل الأداة، مما يمنح طرفًا غير مصرح له وصولًا إلى أي أسرار أو بيانات اعتماد أو كود مصدر يمكن لبيئة العمل الوصول إليه.”

وبحسب الباحثين، كان بإمكان المهاجم استغلال الثغرة لسرقة الرموز (Tokens) والتنقل أفقيًا داخل الأنظمة المرتبطة، مما يسمح بالوصول إلى أنظمة أخرى لاحقًا.

وفي سياق بيئات CI/CD، يمكن أن يؤدي هذا النوع من الثغرات إلى تنفيذ هجمات على سلسلة التوريد (Supply Chain Attacks).

وأشار الباحثون إلى أن:

“وكلاء الذكاء الاصطناعي في البرمجة أصبحوا يعملون داخل خطوط CI/CD بصلاحيات مساوية لمساهم موثوق، ويصلون إلى نفس بيئات العمل التي يتعامل معها المطور. هذا المستوى من الوصول قد يؤدي إلى هجمات خطيرة على سلسلة التوريد، تنشأ من داخل بيئة التطوير نفسها.”

وأكد الباحثون أن الهجوم لم يعتمد على حقن أوامر داخل النموذج (Prompt Injection) أو أي قرار صادر من الذكاء الاصطناعي نفسه.

وفي حادثة مشابهة، تمكنت مجموعة أخرى من الباحثين مؤخرًا من إثبات إمكانية اختطاف وكلاء ذكاء اصطناعي مرتبطين بـ Claude Code Security Review وGemini CLI Action وGitHub Copilot Agent عبر تعليقات خبيثة داخل GitHub.