前言
AI Agent 正在成为开发者日常工作流的一部分,而底层工具本身的安全性往往被忽视。4 月 30 日,安全研究机构 Novee Security 披露了一起值得整个行业警醒的事件:Google 官方推出的 Gemini CLI 中存在一个最高严重级别(CVSS 10 分)的远程代码执行(Remote Code Execution,RCE)漏洞,攻击者可借助恶意构造的输入,在运行该工具的主机上执行任意代码。
事件详情
受影响产品:Gemini CLI(@google/gemini-cli npm 包)
漏洞性质:远程代码执行(RCE)+ 供应链攻击
严重程度:最高级别(Max Severity / CVSS 10.0)
发现者:Novee Security 研究团队
Gemini CLI 是 Google 在 2025 年推出的开源 AI Agent 工具,旨在为开发者提供从终端直接访问 Gemini 大模型的轻量级方案。由于它以 npm 包形式分发,理论上具备通过 npm install 快速安装的能力——这也正是漏洞可怕之处:攻击者可借助包管理生态发起供应链攻击,在受害者机器上植入恶意代码。
安全研究人员在分析该包的输入处理逻辑时发现,当 Gemini CLI 处理来自不受信任来源的提示词(prompt)时,存在一处路径遍历与命令注入的组合缺陷。攻击者只需诱导用户让 AI Agent 执行特定查询(如解析恶意文件、访问钓鱼链接),即可触发漏洞,获得与本地用户同等的命令执行权限。
技术层面的警示
这并非孤例。AI Agent 工具链的安全问题正以结构性方式浮现:
问题一:权限过大 AI Agent 往往需要读写本地文件系统、调用 shell 命令,其默认权限往往远超过任务所需。Gemini CLI 的设计初衷是提供便捷的终端访问能力,但这种「便捷」也意味着一旦被攻破,攻击者几乎可以畅行无阻。
问题二:第三方包依赖链长 Gemini CLI 依赖了多个 npm 包,任何一个中间层出现恶意代码注入,都会影响终端用户。开源生态的便利性与安全性之间存在天然张力。
问题三:用户信任边界的错位 开发者通常对「Google 官方出品」有较高信任度,这种信任可能被攻击者利用——例如伪造包名、钓鱼安装等。
社区与 Google 的反应
截至发稿,Google 尚未发布该漏洞的官方修复版本。安全社区的建议是:
- 立即停止在生产环境或处理不受信任输入的场景中使用 Gemini CLI;
- 如必须使用,务必在隔离容器或虚拟机环境中运行,并严格限制网络访问权限;
- 关注 Google 官方安全公告,等待补丁发布后再升级。
Novee Security 已向 Google 安全团队提交漏洞报告,并给予合理披露窗口期。
我们的判断
这则新闻对以下人群有直接参考价值:
- 使用 Gemini CLI 的开发者:立即检查使用场景,暂时隔离该工具,避免处理来自第三方或不受信任来源的文件和请求;
- AI Agent 框架维护者:应将此案例纳入安全审计参考,重新审视工具链中各类工具的权限隔离设计;
- 企业安全团队:AI 编程助手(如 GitHub Copilot、Cursor、Claude Code 等)的权限管控已是老话题,此次 Gemini CLI 漏洞再次说明:即便是头部厂商的官方工具,也需要纳入资产清点与漏洞管理范围。
AI Agent 的能力越强,其被滥用或被攻破后的破坏力也越大。安全左移(Shift Left Security)的理念在 AI Agent 时代不是可选项,而是必选项。
来源:CSO Online / SecurityWeek,2026-04-30