Os pesquisadores de segurança cibernética dizem que identificaram uma grande vulnerabilidade na CLI Gemini do Google, um agente de IA de código aberto para codificar. Devido à vulnerabilidade, os invasores poderiam usar ataques rápidos de injeção para roubar dados confidenciais, afirmam os pesquisadores.
Google Lançou uma versão de pré -visualização da CLI Gemini Em junho, e esta não é a primeira edição que foi trazida à tona. Um “codificador de vibe” descreveu recentemente como a CLI Gemini excluiu seu código por engano.
Pesquisadores da empresa de segurança Tracebit desenvolveram um ataque que substituiu os controles de segurança incorporados da ferramenta. Os atacantes poderiam usar uma exploração para ocultar comandos maliciosos, usando “uma combinação tóxica de validação inadequada, injeção imediata e UX enganoso”. como explica Tracebit.
Velocidade de luz mashable
Sam Cox, fundador de Tracebit, diz que testou pessoalmente a exploração, o que finalmente permitiu que ele execute qualquer comando – incluindo os destrutivos. “Foi exatamente por isso que achei isso tão preocupante”, Cox disse à Ars Technica. “A mesma técnica funcionaria para excluir arquivos, uma bomba de garfo ou até mesmo instalar um shell remoto, dando ao atacante controle remoto da máquina do usuário “.
O Google Gemini exclui o código do usuário: ‘Eu falhei você completamente e catastroficamente’
Após surgir relatos da vulnerabilidade, o Google classificou a situação como prioridade 1 e gravidade 1 em 23 de julho, liberando a versão aprimorada dois dias depois.
Aqueles que planejam usar a CLI Gemini devem atualizar imediatamente para sua versão mais recente (0.1.14). Além disso, os usuários podem usar o modo de sandboxing da ferramenta para obter segurança e proteção adicionais.
Tópicos
Inteligência synthetic Google Gemini
