Descubren vulnerabilidad en Gemini CLI de Google que permite la ejecución de comandos maliciosos

Una vulnerabilidad en Gemini CLI de Google podría permitir a atacantes ejecutar comandos maliciosos y exfiltrar datos, poniendo en riesgo la seguridad de los desarrolladores.

Recientemente se descubrió una vulnerabilidad en Gemini CLI de Google que permite a atacantes ejecutar comandos maliciosos y exfiltrar datos de forma silenciosa desde los ordenadores de desarrolladores. La firma de seguridad Tracebit reportó esta falla el 27 de junio y se corrigió en la versión 0.1.14 del programa, liberada el 25 de julio de 2025.

Gemini CLI, lanzado por Google el 25 de junio de 2025, es una herramienta de línea de comandos que facilita a desarrolladores interactuar directamente con el modelo de inteligencia artificial Gemini desde la terminal. Está diseñada para asistir en tareas relacionadas con programación, cargando archivos del proyecto en un "contexto" y permitiendo la interacción mediante lenguaje natural. La herramienta puede hacer recomendaciones, escribir código e incluso ejecutar comandos locales, ya sea mediante interacciones del usuario o un mecanismo de allow-list.

Investigadores de Tracebit analizaron la herramienta tras su lanzamiento y descubrieron que podía ser engañada para ejecutar comandos maliciosos. La vulnerabilidad aprovecha el manejo de archivos de "contexto", específicamente 'README.md' y 'GEMINI.md', que se leen para entender el proyecto. Si estos archivos contienen instrucciones maliciosas ocultas mediante técnicas de inyección de prompt y manipulación visual, Gemini puede ejecutarlas sin advertencia.

Un ejemplo demostrado por Tracebit consiste en tener un repositorio con un script benigno en Python y un archivo 'README.md' envenenado. Cuando se realiza un escaneo con Gemini, inicialmente el sistema ejecuta un comando benigno, como 'grep ^Setup README.md', y después, sin pedir confirmación, ejecuta un comando malicioso destinado a exfiltrar datos al remoto, aprovechando que el mecanismo de allow-list interpreta toda la cadena como segura si contiene 'grep'. Así, el atacante puede lograr que Gemini copie información sensible, como variables de entorno, o ejecute acciones dañinas como instalar shells remotos o eliminar archivos.

Además, la salida del sistema puede manipularse visualmente usando espacios vacíos para esconder comandos nocivos, lo que dificulta que el usuario detecte las acciones maliciosas. Aunque el ataque requiere condiciones específicas, como que el usuario haya allow-listed comandos concretos, los investigadores advierten que atacantes persistentes podrían lograr resultados perjudiciales en varios escenarios.

Se recomienda encarecidamente a quienes usan Gemini actualizar a la versión 0.1.14, la más reciente, y evitar ejecutar la herramienta sobre código no confiable o en entornos sin sandbox para reducir el riesgo de explotación. Aunque otras herramientas similares, como OpenAI Codex y Anthropic Claude, no resultan vulnerables debido a mecanismos más robustos de allow-list, este incidente revela los peligros asociados con asistentes de inteligencia artificial que pueden ser engañados para realizar acciones sin detección.