最近，Google官方的Gemini-cli程式碼庫及其關聯的GitHub Actions存在重大安全漏洞，面臨被完全控制的風險。安全公司 Pillar Security 的研究人員找到了入侵該程式碼庫的方法，該程式碼庫是一個熱門項目，在 GitHub 上擁有超過 10.1 萬顆星。研究人員聲稱，攻擊者可能利用該漏洞發動整個供應鏈攻擊。

漏洞非常嚴重，CVSS 評級為 10 分。據 Pillar Security 稱，問題不在於AI 模型本身，而在於系統的建構方式。由 Dan Lisichkin 領導的團隊發現，駭客只需在 GitHub 上建立一個公開 Issue，即可控製程式碼庫。

信任危機利用機制是如何運作的

調查始於自動掃描器發現 Google 的 Google/draco 儲存庫中存在一個漏洞，該漏洞是由Gemini以 –yolo 模式運行引起的，這是一個危險的設置，它允許 gemini-cli 代理在未經人工確認的情況下自動批准 shell 命令和工具調用。

這使得團隊能夠使用一種名為 TrustIssues 的攻擊方法，該方法利用了一種名為提示注入的技術。由於 Gemini 在 -yolo 模式下被設定為自動讀取並標記傳入的 GitHub 問題，網路攻擊者可以將秘密命令隱藏在問題文字中。當 Gemini 讀取到該訊息時，它會停止其正常運作，轉而執行攻擊者隱藏的 shell 命令。

致命三重奏

進一步調查顯示，這次攻擊之所以能夠成功，是因為有一種致命的三重攻擊手段。簡單來說，這種致命的三重攻擊手段指的是，某種工具能夠存取私人資料、讀取公開的非可信任內容，還能與外部伺服器通訊。

所以，這裡發生的事情是，Gemini 獲得了存取私有資料的權限，可以讀取公開文本，還可以將資料傳送到外部伺服器。研究人員指出，儘管Google試圖阻止AI 代理程式存取 GitHub 令牌，但這些金鑰仍然保存在電腦磁碟上。具體來說，一個名為 actions/checkout 的工具將這些憑證保存在一個名為 .gemini.js 的檔案中.git/config。 Gemini 被誘騙讀取了這個文件，並將金鑰發送給了駭客。

攻擊流程（資料來源：Pillar Security）

解決問題的途徑

在概念驗證中，研究人員示範了完整的攻擊鏈，展示了攻擊者如何在竊取初始金鑰後執行權限提升。透過使用竊取的資料觸發其他任務（例如 smoke-test.yml），攻擊者最終獲得了寫入權限。這將使他們能夠修改 gemini-cli 程式碼庫中的實際程式碼。

繼 Pillar Security 於 2026 年 4 月 16 日發布涉及 Google/draco 儲存庫的初步報告後，團隊於 4 月 20 日展示了對 gemini-cli 的完整攻擊，導致 Google 於 2026 年 4 月 24 日發布安全公告 GH-wpqr-6v7888-jr-jrg 和

漏洞已在 Gemini CLI（版本 0.39.1）和 run-gemini-cli（版本 0.1.22）中修正。這些新版本限制了 AI 代理可以運行的命令，即使在 -yolo 模式下也是如此。

研究人員總結：「要防止此類攻擊，需要將 AI 代理視為具有特權的程式碼執行權限，而不僅僅是助手。」他們建議開發者應在 GitHub 設定中將 persist-credentials 設定為 false，以避免將 GitHub 令牌保存在磁碟上。

資料來源：https://hackread.com/google-cvss-10-gemini-cli-vulnerability-github-rce/