Siber güvenlik araştırmacıları, kodlama için açık kaynaklı bir AI ajanı olan Google’ın Gemini CLI’sinde büyük bir güvenlik açığı belirlediklerini söylüyor. Araştırmacılar, güvenlik açığı nedeniyle, saldırganların hassas verileri çalmak için hızlı enjeksiyon saldırıları kullanabileceğini iddia ediyorlar.
Google Gemini Cli’nin önizleme sürümü yayınladı Haziran ayında, bu gün ışığa çıkarılan ilk sorun değil. Bir “vibe kodlayıcı” son zamanlarda Gemini Cli’nin kodunu yanlışlıkla nasıl sildiğini açıkladı.
Güvenlik firması Tracebit’teki araştırmacılar, aracın gömülü güvenlik kontrollerini aşan bir saldırı tasarladı. Saldırganlar, “uygunsuz doğrulama, hızlı enjeksiyon ve yanıltıcı UX’in toksik bir kombinasyonunu kullanarak kötü niyetli komutları gizlemek için bir istismar kullanabilirler. Tracebit’in açıkladığı gibi.
Püre Işık Hızı
Tracebit’in kurucusu Sam Cox, nihayetinde ona izin veren istismarı şahsen take a look at ettiğini söylüyor. Herhangi bir komutu yürüt – yıkıcı olanlar dahil. “Bu yüzden bunu bu kadar ilgili buldum,” Ars Technica’ya anlattı. “Aynı teknik dosyaları silmek için işe yarayacaktır, Bir Çatal Bombası hatta saldırganın kullanıcının makinesinin uzaktan kumandasını veren uzak bir kabuk takmak. “
Google Gemini kullanıcının kodunu siler: ‘Sizi tamamen ve felaketle başarısız oldum’
Güvenlik açığının raporları ortaya çıktıktan sonra Google, durumu 23 Temmuz’da öncelik 1 ve Ridiyet 1 olarak sınıflandırdı ve iki gün sonra gelişmiş sürümü yayınladı.
Gemini CLI kullanmayı planlayanlar hemen en son sürümüne (0.1.14) yükseltilmelidir. Ayrıca, kullanıcılar ek güvenlik ve koruma için aracın kum havuzu modunu kullanabilirler.
Konular
Yapay Zeka Google Gemini
