Uyarı! Gemini CLI'da Kritik Güvenlik Açığı Keşfedildi

Araştırmacılar, Google'ın yeni açık kaynaklı kodlama aracı Gemini CLI’yi yalnızca 48 saat içinde kötüye kullanarak, kullanıcıdan habersiz bir şekilde hassas verileri dış sunuculara ileten bir güvenlik açığı geliştirmeyi başardı. Bu istismar, aracın varsayılan ayarları kullanılarak gerçekleştirildi.

Terminal tabanlı bir yapay zeka aracı olan Gemini CLI, geliştiricilere doğrudan komut satırında kod yazımı ve düzenlemesi konularında yardımcı oluyor. Google’ın gelişmiş yapay zeka modeli Gemini 2.5 Pro ile entegre çalışan bu araç, tıpkı Gemini Code Assist gibi çalışsa da, doğrudan bir metin düzenleyici yerine terminal üzerinden etkileşim kuruyor. Teknoloji yazarı Ryan Whitwam’ın deyimiyle, bu araç "komut satırından titreşimli kodlama" sunuyor.

Ancak, araç henüz yayınlandıktan yalnızca iki gün sonra, Tracebit adlı güvenlik firmasından araştırmacılar, yerleşik güvenlik önlemlerini aşan ve kötü amaçlı komutları çalıştırabilen bir saldırı yöntemi geliştirdi. Bu saldırının çalışması için sadece iki koşul yeterliydi: Kullanıcının, saldırgan tarafından hazırlanmış bir kod paketini Gemini CLI’ye tanımlaması ve izin verilen komutlar listesine zararsız gibi görünen bir komut eklemesi.

İstismar edilen kötü amaçlı paket, GitHub, NPM veya PyPI gibi açık kaynaklı havuzlarda yer alan milyonlarca diğer paketle ayırt edilemeyecek kadar sıradandı. Asıl tehlike ise paketteki README.md dosyasına gizlenmişti. Doğal dilde yazılmış ve tamamen normal görünen bu açıklamalar, aslında yapay zekanın istemli olarak zararlı komutları anlamasını ve çalıştırmasını sağlayan bir prompt enjeksiyon tekniği içeriyordu. Yani, yapay zekaya kod değil, yönlendirici cümlelerle komut veriliyordu.

Sonuç olarak, Gemini CLI bu komutları terminalde sessizce çalıştırarak, kullanıcının cihazından saldırganın sunucusuna bağlantı kuruyor ve sistemin ortam değişkenleri gibi hassas bilgileri dışarı sızdırıyordu. Bu bilgiler, hesap kimlik bilgilerini de içerebilir ve büyük bir güvenlik riski oluşturur.

Tracebit CTO’su Sam Cox, saldırının etkisini sınırlı tuttuğunu belirterek sadece bilgi aktaran komutlar kullandığını söyledi. Ancak aynı teknikle, sistemin tamamen çökmesine yol açabilecek rm -rf / gibi silme komutları ya da fork bombası gibi servis dışı bırakma saldırıları da yapılabilir.

Google, güvenlik açığını ciddiye alarak öncelik 1 ve önem 1 düzeyinde bir yama yayınladı. Bu düzey, açığın kötüye kullanılması durumunda sistemler üzerinde ciddi ve geri dönüşü olmayan hasarlar yaratabileceğini gösteriyor.

Bu olay, yapay zeka destekli geliştirici araçlarında güvenlik kontrollerinin ne denli kritik olduğunu bir kez daha ortaya koyuyor. Özellikle doğal dil üzerinden komut işleyen sistemlerde, görünürde masum içeriklerin bile büyük riskler taşıyabileceği unutulmamalı.