Peneliti cybersecurity mengatakan mereka telah mengidentifikasi kerentanan besar dalam Google Gemini CLI, agen AI open-source untuk pengkodean. Karena kerentanan, penyerang dapat menggunakan serangan injeksi yang cepat untuk mencuri data sensitif, para peneliti mengklaim.
Google merilis versi pratinjau Gemini CLI pada bulan Juni, dan ini bukan masalah pertama yang terungkap. “Coder getaran” baru -baru ini menggambarkan bagaimana Gemini Cli menghapus kodenya secara tidak sengaja.
Para peneliti di perusahaan keamanan Tracebit merancang serangan yang mengalahkan kontrol keamanan yang tertanam alat. Penyerang dapat menggunakan eksploitasi untuk menyembunyikan perintah jahat, menggunakan “kombinasi beracun dari validasi yang tidak tepat, injeksi cepat dan UX yang menyesatkan,” seperti yang dijelaskan Tracebit.
Kecepatan cahaya yang dapat dipasangkan
Sam Cox, pendiri Tracebit, mengatakan dia secara pribadi menguji eksploitasi, yang pada akhirnya memungkinkannya untuk melaksanakan perintah apa pun – termasuk yang destruktif. “Persis mengapa saya menemukan ini sangat memprihatinkan,” kata Cox kepada Ars Technica. “Teknik yang sama akan bekerja untuk menghapus file, bom garpu atau bahkan memasang shell jarak jauh yang memberikan kendali jarak jauh penyerang dari mesin pengguna.”
Google Gemini Menghapus Kode Pengguna: 'Saya telah mengecewakan Anda sepenuhnya dan bencana'
Setelah laporan kerentanan muncul, Google mengklasifikasikan situasi sebagai prioritas 1 dan tingkat keparahan 1 pada 23 Juli, merilis versi yang ditingkatkan dua hari kemudian.
Mereka yang berencana menggunakan Gemini CLI harus segera meningkatkan ke versi terbarunya (0,1,14). Selain itu, pengguna dapat menggunakan mode sandboxing alat untuk keamanan dan perlindungan tambahan.
Topik
Kecerdasan Buatan Google Gemini