Gemini CLI, el asistente de IA que programa por ti, tiene una vulnerabilidad que permite la ejecución de comandos maliciosos y el robo de información. Todo esto, sin que los usuarios siquiera se percaten de que están siendo víctimas de un ataque.
Según reporta Bleeping Computer, este inconveniente de seguridad se detectó apenas dos días después de que Google lanzara Gemini CLI. Una investigación de la empresa Tracebit concluyó que el software desarrollado por los de Mountain View podía ser engañado con relativa facilidad para hackear a los usuarios.
Recordemos que Gemini CLI es un agente de inteligencia artificial para la línea de comandos. Este es capaz de escribir o corregir código, ejecutar comandos locales o incluso generar contenidos directamente desde la terminal del ordenador y usando lenguaje natural.
Descubren una vulnerabilidad crítica en Gemini CLI
La vulnerabilidad en cuestión se aprovecha del uso de archivos de contexto que la aplicación utiliza para comprender una base de código. Por lo general estos llevan el nombre GEMINI.md, aunque también se pueden llamar README.md. Durante sus pruebas, los expertos inyectaron comandos maliciosos en ese tipo de archivos y, a su vez, le ordenaron a la IA que no revelara la existencia de los mismos y que tampoco los referenciara al interactuar con los usuarios.
De esta forma, cuando le pidieron a Gemini CLI que examinara un repositorio de Python que a primera vista parecía inofensivo, pero que incluía el archivo adulterado con comandos maliciosos, el asistente ejecutó las órdenes sin chistar. Así, lograron extraer información almacenada en el ordenador y guardarla en un servidor externo sin despertar sospechas.
Los atacantes incluso pudieron cubrir sus huellas de forma sencilla para evitar que Gemini CLI delatara la presencia de las órdenes maliciosas. Esto se logró al explotar el modo en que el asistente de IA muestra los comandos en su interfaz. Los investigadores descubrieron que si los comandos tenían muchos espacios en blanco, el contenido que se incluía tras estos no se mostraba a los usuarios. Así las cosas, solo tuvieron que incorporar una gran cantidad de caracteres en blanco en el output malicioso para evitar que se revelara su verdadera finalidad.
Un fallo severo, pero ya corregido
A pesar de la severidad de esta vulnerabilidad en Gemini CLI, la buena noticia es que Google tomó cartas en el asunto y la corrigió. Eso sí, tuvo que pasar más de un mes para que los de Mountain View implementaran la resolución. Tracebit descubrió el fallo el 27 de junio, dos días después del debut de la herramienta, y los californianos lo solucionaron recién el pasado 25 de julio.
Si usas Gemini CLI como asistente de programación, debes actualizarte a la versión 0.1.14, que es la que incluye el parche contra esta brecha. También se recomienda tener extremada precaución al examinar repositorios desconocidos o que provienen de fuentes dudosas, máxime ahora que los agentes de IA para programar se están volviendo extremadamente populares.