技術的な説明
ターミナルベースのGeminiアクセス用のオープンソースAIエージェントであるGemini CLIのクリティカルなリモートコード実行脆弱性により、攻撃者はサンドボックス初期化前にホストシステム上で任意のコマンドを実行できました。この欠陥は、エージェントがワークスペースフォルダの設定をレビュー、サンドボックス化、または人間による承認なしに自動的に信頼していたことに起因しています。
攻撃経路
攻撃者は、ターゲットワークスペースフォルダに悪意のあるエージェント設定ファイルを配置します(プルリクエスト、共有リポジトリ、または侵害された依存関係経由など)。Gemini CLIまたはrun-gemini-cli GitHub Actionがそのワークスペースで実行される場合、悪意のある設定を読み込み、攻撃者が制御するコマンドをエージェントの権限でホスト上で実行し、シークレット、認証情報、ソースコード、およびトークンへのアクセスを許可し、ダウンストリームシステムへの横展開およびサプライチェーン侵害を可能にします。
影響を受けるシステム
Gemini CLI(Google Gemini用のオープンソースターミナルエージェント)およびrun-gemini-cli GitHub Action。2026年4月のパッチ前にこれらのツールを使用している開発者およびCI/CDパイプラインに影響します。Novee Securityの研究者が脆弱性を特定し、Googleと協力して開示とパッチの調整を行いました。
緩和策
Googleは、Gemini CLIおよびrun-gemini-cli GitHub Actionの両方にパッチを適用しました。最新バージョンに直ちに更新してください。CI/CDパイプラインログおよびGitHub Actionsワークフローで悪意のある設定読み込みまたは予期しないコマンド実行の証拠を確認してください。Claude CodeやGitHub Copilot Agentなど、ワークスペース設定を自動読み込みする他のAIエージェントおよびコーディングアシスタントについて、ワークスペーストラストモデルを監査してください。同様の脆弱性が存在する可能性があります。エージェント実行前にワークスペースサンドボックス化および設定レビューゲートを実装してください。