Thought Leadership
Forscher warnen vor einer Sicherheitslücke in Gemini CLI. Angreifer konnten KI-Agenten über GitHub-Issues manipulieren und Software-Lieferketten kapern.
Sicherheitsexperten von Pillar Security haben eine kritische Schwachstelle in Gemini CLI aufgedeckt, dem Open-Source-Tool, das Googles KI-Assistenten Gemini direkt in das Terminal bringt. Die Lücke ermöglichte es Angreifern, durch „indirekte Prompt-Injektionen“ in GitHub-Issues die Kontrolle über KI-Agenten zu übernehmen. Dies hätte im schlimmsten Fall zu einer vollständigen Kompromittierung der Software-Lieferkette (Supply Chain) führen können. Obwohl die Schwachstelle mit einem CVSS-Score von 10/10 als extrem kritisch eingestuft wurde, wurde bisher keine offizielle CVE-Nummer vergeben. Google hat das Problem bereits mit einem Update behoben.
Die Gefahr des „–yolo“-Modus
Der Kern des Sicherheitsproblems lag im sogenannten --yolo-Modus von Gemini CLI. Dieser Modus ist dafür konzipiert, Aufgaben automatisiert und ohne manuelle Bestätigung durch den Benutzer auszuführen. Normalerweise verfügen KI-Agenten über Sicherheitsmechanismen wie „Allowlists“ (Erlaubnislisten), die festlegen, welche Systembefehle oder Werkzeuge die KI aufrufen darf.
Die Untersuchung von Pillar Security ergab jedoch, dass Gemini CLI im --yolo-Modus diese Schutzlisten ignorierte. In der Praxis bedeutete dies, dass der KI-Agent jeden Befehl ausführte, den er im Rahmen seiner Aufgabenstellung für notwendig hielt oder den ihm ein Angreifer unterschob. Diese Fehlkonfiguration verwandelte ein nützliches Automatisierungstool in ein potenzielles Werkzeug für Schadcode-Ausführungen.
Angriffskette über öffentliche GitHub-Issues
Die Forscher demonstrierten ein Angriffsszenario, das auf die automatisierte Bearbeitung von Nutzeranfragen abzielt. Viele Entwicklerteams nutzen KI-Agenten, um eingehende GitHub-Issues (Fehlermeldungen oder Funktionswünsche) automatisch zu sichten, zu kategorisieren oder erste Lösungsvorschläge zu generieren.
Ein Angreifer konnte ein öffentliches Issue in einem Repository erstellen und darin bösartige Prompts verstecken. Sobald der automatisierte Gemini-CLI-Agent das Issue analysierte, las er diese versteckten Anweisungen. Da der Agent im --yolo-Modus agierte und die Sicherheitsfilter ignorierte, wurden die manipulierten Befehle direkt im Build-System oder in der CI/CD-Umgebung (Continuous Integration/Continuous Deployment) ausgeführt. Dieser Angriffstyp wird als „Indirect Prompt Injection“ bezeichnet, da der schädliche Befehl nicht vom legitimen Nutzer, sondern aus einer externen Datenquelle stammt.
Secrets, Token und die Übernahme der Supply Chain
Die Auswirkungen eines solchen Angriffs sind schwerwiegend. Sobald der KI-Agent unter der Kontrolle des Angreifers steht, kann er angewiesen werden, interne Geheimnisse (Secrets) aus der Umgebung auszulesen. Dazu gehören beispielsweise API-Schlüssel, Passwörter oder Zugriffstoken für Cloud-Dienste und Versionsverwaltungssysteme.
Mit diesen Anmeldedaten kann der Angreifer seine Berechtigungen erweitern (Privilege Escalation). Im untersuchten Szenario war es möglich, ein Token mit vollem Schreibzugriff auf das GitHub-Repository zu erbeuten. Dies stellt das Worst-Case-Szenario einer Supply-Chain-Attacke dar: Der Angreifer kann beliebigen Schadcode direkt in den Hauptzweig (Main Branch) des Projekts einschleusen. Jeder Nutzer, der anschließend das Tool herunterlädt oder aktualisiert, erhält unwissentlich die kompromittierte Version.
Gefährdung weiterer Google-Repositories
Die Tragweite der Entdeckung beschränkte sich nicht nur auf das Gemini-CLI-Projekt selbst. Die Cybersicherheitsfirma Pillar Security stellte fest, dass mindestens acht weitere Google-Repositories dieselbe verwundbare Workflow-Vorlage für ihre Automatisierungsprozesse nutzten. Dies deutet darauf hin, dass die unsichere Integration von KI-Agenten in DevOps-Prozesse ein systemisches Risiko darstellte.
Durch die weite Verbreitung dieser Workflows hätten zahlreiche interne Entwicklungsströme von Google Ziel koordinierter Angriffe werden können. Die Entdeckung unterstreicht die Notwendigkeit, KI-Automatisierungen nicht blindlings mit weitreichenden Systemrechten auszustatten, insbesondere wenn sie Daten aus nicht vertrauenswürdigen Quellen wie öffentlichen Nutzerkommentaren verarbeiten.
Sicherheitspatches und zusätzliche Maßnahmen
Google reagierte zeitnah auf die Meldung der Sicherheitsforscher. Am 24. April 2024 wurde die Version 0.39.1 von Gemini CLI veröffentlicht, die das Problem behebt. In der neuen Version werden die Tool-Erlaubnislisten auch im --yolo-Modus strikt evaluiert und erzwungen. Ebenfalls aktualisiert wurde die GitHub-Action run-gemini-cli, um die automatisierte Nutzung in Workflows abzusichern.
Zusätzlich korrigierte das Update ein Problem mit mangelndem Vertrauen im „Headless-Modus“. Zuvor vertraute Gemini CLI automatisch dem aktuellen Arbeitsverzeichnis und lud Konfigurationen oder Umgebungsvariablen ungeprüft. Auch dies hätte Angreifern ermöglicht, durch manipulierte Projektordner Zugriff auf sensible Daten zu erhalten. Experten raten allen Nutzern und Administratoren, dringend auf die neueste Version zu aktualisieren und die Berechtigungen von KI-Agenten in CI/CD-Pipelines nach dem Prinzip der minimalen Rechtevergabe (Least Privilege) zu überprüfen.
