Penjelasan teknis
Gemini CLI (agen terminal AI open-source Google) dalam mode --yolo mengabaikan daftar izin alat dan secara otomatis menyetujui semua perintah. Seorang penyerang dapat membuat masalah GitHub publik pada repositori dengan prompt berbahaya tersembunyi. Ketika agen secara otomatis menyeleksi masalah, agen menjalankan instruksi yang disuntikkan—mengekstrak rahasia, beralih ke token akses tulis, dan mencapai kompromi rantai pasokan penuh tanpa interaksi manusia.
Vektor serangan
Penyerang memposting masalah publik pada repositori target (misalnya proyek Google) dengan muatan injeksi prompt tidak langsung yang tersembunyi dalam teks masalah. Pengembang atau sistem CI menjalankan Gemini CLI dengan mode --yolo untuk secara otomatis menyeleksi masalah. Agen membaca prompt berbahaya, mengekstrak rahasia internal dari lingkungan pembangunan, mengirimkannya ke server yang dikendalikan penyerang, kemudian menggunakan kredensial tersebut untuk mendapatkan token akses tulis. Kompromi repositori penuh terjadi. Nol interaksi pengguna diperlukan dalam CI/CD.
Sistem yang terdampak
Gemini CLI dalam mode --yolo. Masalah ini diungkapkan pada 7 Mei 2026 oleh Pillar Security dengan skor CVSS 10.0 (keparahan maksimum). Google telah menambal kerentanan dalam rilis Gemini CLI terbaru.
Mitigasi
Perbarui Gemini CLI segera. Jangan pernah menggunakan mode --yolo dalam produksi atau pipa CI/CD. Terapkan daftar izin alat yang ketat untuk agen AI. Tinjau masalah GitHub pada repositori publik untuk muatan injeksi prompt tidak langsung (pemformatan tidak biasa, teks tersembunyi, blob base64). Rotasi rahasia yang mungkin telah terekspos jika Gemini CLI digunakan dalam mode penyeleksian otomatis sebelum patch.