기술 설명
--yolo 모드의 Gemini CLI(Google의 오픈소스 AI 터미널 에이전트)는 도구 허용 목록을 무시하고 모든 명령을 자동으로 승인합니다. 공격자는 숨겨진 악성 프롬프트가 포함된 공개 GitHub 이슈를 저장소에 생성할 수 있습니다. 에이전트가 자동으로 이슈를 분류할 때 주입된 명령을 실행하여 비밀을 추출하고, 쓰기 액세스 토큰으로 피벗한 후 사용자 상호작용 없이 완전한 공급망 침해를 달성합니다.
공격 경로
공격자는 대상 저장소(예: Google 프로젝트)에 이슈 텍스트에 숨겨진 간접 프롬프트 인젝션 페이로드가 포함된 공개 이슈를 게시합니다. 개발자 또는 CI 시스템이 --yolo 모드로 Gemini CLI를 실행하여 이슈를 자동으로 분류합니다. 에이전트가 악성 프롬프트를 읽고 빌드 환경에서 내부 비밀을 추출한 후 공격자 제어 서버로 전송하고, 이 자격 증명을 사용하여 쓰기 액세스 토큰을 획득합니다. 완전한 저장소 침해가 뒤따릅니다. CI/CD에서 사용자 상호작용이 전혀 필요하지 않습니다.
영향받는 시스템
--yolo 모드의 Gemini CLI. 이 문제는 Pillar Security에 의해 2026년 5월 7일에 공개되었으며 CVSS 점수는 10.0(최대 심각도)입니다. Google은 최신 Gemini CLI 릴리스에서 이 취약점을 패치했습니다.
완화 방안
Gemini CLI를 즉시 업데이트하세요. 프로덕션 또는 CI/CD 파이프라인에서 --yolo 모드를 사용하지 마세요. AI 에이전트에 대한 엄격한 도구 허용 목록을 구현하세요. 공개 저장소의 GitHub 이슈에서 간접 프롬프트 인젝션 페이로드(비정상적인 형식, 숨겨진 텍스트, base64 블롭)를 검토하세요. 패치 이전에 자동 분류 모드에서 Gemini CLI를 사용했다면 노출되었을 수 있는 비밀을 회전하세요.