技術的な説明
Google のオープンソース AI ターミナルエージェントである Gemini CLI は、--yolo モードでツール許可リストを無視し、すべてのコマンドを自動承認します。攻撃者は隠れた悪意のあるプロンプトを含むパブリック GitHub Issue をリポジトリに作成できます。エージェントが自動的にその Issue をトリアージすると、注入された命令を実行し、シークレットを抽出し、書き込みアクセストークンへのピボットを実行し、人間の操作なしで完全なサプライチェーン侵害を達成します。
攻撃経路
攻撃者がターゲットリポジトリ (Google プロジェクトなど) のパブリック Issue に、Issue テキストに隠された間接的プロンプトインジェクションペイロードを投稿します。開発者または CI システムが Gemini CLI を --yolo モードで実行して Issue を自動トリアージします。エージェントは悪意のあるプロンプトを読み取り、ビルド環境から内部シークレットを抽出し、攻撃者が管理するサーバーに送信してから、これらの認証情報を使用して書き込みアクセストークンを取得します。リポジトリの完全な侵害に至ります。CI/CD で必要なユーザー操作がありません。
影響を受けるシステム
Gemini CLI in --yolo モード。この脆弱性は Pillar Security により 2026 年 5 月 7 日に開示され、CVSS スコアは 10.0 (最大重大度) です。Google は最新の Gemini CLI リリースで脆弱性をパッチしました。
緩和策
Gemini CLI を直ちに更新してください。本番環境または CI/CD パイプラインで --yolo モードを使用しないでください。AI エージェント向けに厳密なツール許可リストを実装してください。パブリックリポジトリの GitHub Issue で間接的プロンプトインジェクションペイロード (異常なフォーマット、隠されたテキスト、base64 blob) をレビューしてください。パッチ前にオートトリアージモードで Gemini CLI が使用されていた場合は、露出した可能性があるシークレットをローテーションしてください。