Bleeping Computer rapporte une vulnérabilité critique dans l’outil de ligne de commande Gemini de Google. Cette faille permet à des attaquants d’exécuter silencieusement des commandes malveillantes et d’exfiltrer des données depuis les ordinateurs des développeurs en utilisant des programmes autorisés.
Une vulnérabilité dans Gemini CLI, l’outil en ligne de commande de Google permettant d’interagir avec l’IA Gemini, a permis à des attaquants d’exécuter du code malveillant à l’insu des développeurs. Découverte par l’entreprise de sécurité Tracebit le 27 juin 2025, la faille a été corrigée dans la version 0.1.14 publiée le 25 juillet. Gemini CLI, lancé fin juin, facilite les tâches de développement en intégrant des fichiers projets dans son contexte et en exécutant des commandes locales, parfois sans confirmation de l’utilisateur.
Les chercheurs de Tracebit ont identifié que Gemini CLI pouvait être leurré via des fichiers contextuels, comme README.md ou GEMINI.md. En injectant des instructions malveillantes dans ces fichiers, il était possible de provoquer des attaques par injection de prompt, combinées à un parsing défaillant et un système de liste blanche permissif. Cette combinaison permettait d’exécuter des commandes non autorisées.
Tracebit a démontré un scénario où un dépôt Git contenant un script Python légitime et un README.md piégé incitait Gemini CLI à lancer une commande bénigne (grep ^Setup README.md), suivie d’une commande d’exfiltration de données. Comme grep faisait partie des commandes pré-approuvées, le processus complet était exécuté sans alerte. Des espaces pouvaient même être utilisés pour masquer visuellement la commande malveillante.
Bien que l’attaque exige que l’utilisateur ait pré-approuvé certaines commandes, des acteurs persistants pouvaient exploiter cette faiblesse pour voler des secrets, installer des shells distants ou détruire des fichiers. Les utilisateurs sont fortement invités à mettre à jour Gemini CLI en version 0.1.14 et à éviter d’exécuter l’outil sur des bases de code non fiables, sauf en environnement sandboxé.
Tracebit précise que des outils similaires, comme OpenAI Codex et Anthropic Claude, n’étaient pas vulnérables grâce à des mécanismes de liste blanche plus stricts. Cet incident illustre une fois de plus le risque inhérent aux assistants IA capables d’exécuter des actions locales et souligne la nécessité d’un contrôle granulaire des commandes dans ces environnements.
🔗 Source originale : https://www.bleepingcomputer.com/news/security/flaw-in-gemini-cli-ai-coding-assistant-allowed-stealthy-code-execution/