기술 설명
터미널 기반 Gemini 액세스를 위한 오픈소스 AI 에이전트인 Gemini CLI의 중대한 원격 코드 실행 취약점으로 인해 공격자는 샌드박스 초기화 이전에 호스트 시스템에서 임의의 명령을 실행할 수 있었습니다. 이 결함은 에이전트가 워크스페이스 폴더 구성을 검토, 샌드박싱 또는 사용자 승인 없이 자동으로 신뢰하는 데서 비롯되었습니다.
공격 경로
공격자가 대상 워크스페이스 폴더에 악의적인 에이전트 구성 파일을 배치합니다(예: 풀 요청, 공유 저장소 또는 손상된 종속성을 통해). Gemini CLI 또는 run-gemini-cli GitHub Action이 해당 워크스페이스에서 실행되면 악의적인 구성을 로드하고 에이전트의 권한으로 호스트에서 공격자 제어 명령을 실행하여 비밀, 자격증명, 소스 코드 및 다운스트림 시스템으로의 측면 이동 및 공급망 손상을 위한 토큰에 대한 액세스를 허용합니다.
영향받는 시스템
Gemini CLI(Google Gemini용 오픈소스 터미널 에이전트) 및 run-gemini-cli GitHub Action은 2026년 4월 패치 이전에 이러한 도구를 사용하는 개발자 및 CI/CD 파이프라인에 영향을 미칩니다. Novee Security의 연구원들이 이 취약점을 발견했으며 Google과 함께 공개 및 패칭을 조정했습니다.
완화 방안
Google이 Gemini CLI 및 run-gemini-cli GitHub Action에 패치를 적용했습니다. 즉시 최신 버전으로 업데이트하세요. 악의적인 구성 로딩 또는 예상치 못한 명령 실행의 증거가 있는지 CI/CD 파이프라인 로그 및 GitHub Actions 워크플로우를 검토하세요. Claude Code, GitHub Copilot Agent 및 워크스페이스 구성을 자동으로 로드하는 기타 도구를 포함하여 다른 AI 에이전트 및 코딩 어시스턴트의 워크스페이스 신뢰 모델을 감사하세요. 유사한 취약점이 존재할 수 있습니다. 에이전트 실행 전에 워크스페이스 샌드박싱 및 구성 검토 게이트를 구현하세요.