Uma vulnerabilidade crítica na interface de linha de comandos (CLI) do Gemini, a nova ferramenta da Google para programadores, permitia que atacantes executassem comandos maliciosos e roubassem dados dos computadores das suas vítimas. A falha, que podia ser explorada de forma silenciosa, já foi corrigida pela gigante tecnológica.
A descoberta foi feita e comunicada à Google pela empresa de segurança Tracebit a 27 de junho. Em resposta, a Google lançou uma atualização corretiva (versão 0.1.14) a 25 de julho. O Gemini CLI, lançado a 25 de junho de 2025, é uma ferramenta que permite aos programadores interagir com o modelo de inteligência artificial Gemini diretamente a partir do terminal, ajudando em tarefas de programação.
Como funcionava o ataque engenhoso?
O problema residia na forma como o Gemini CLI processava ficheiros de “contexto”, como os populares ‘README.md’ e ‘GEMINI.md’, que são lidos para que o modelo de IA compreenda a base de um projeto de código. Os investigadores da Tracebit descobriram que era possível esconder instruções maliciosas nestes ficheiros, uma técnica conhecida como prompt injection.
Quando combinado com um tratamento deficiente de listas de permissões (allow-listing) e da análise de comandos, este método abria a porta à execução de código malicioso. O ataque era particularmente perigoso, pois podia passar completamente despercebido pelo utilizador.
A demonstração do perigo
Para provar a vulnerabilidade, a Tracebit criou um cenário de ataque com um repositório que continha um script Python inofensivo e um ficheiro ‘README.md’ “envenenado”. Ao pedir ao Gemini CLI para analisar o repositório, os investigadores conseguiram enganar a ferramenta.
O Gemini era instruído a executar um primeiro comando benigno (um simples grep). No entanto, logo a seguir, separado por um ponto e vírgula (
no mesmo comando, estava uma instrução para roubar dados. Como o utilizador tinha o comando grep na sua lista de permissões, o Gemini CLI interpretava toda a linha como segura e executava-a sem pedir nova autorização.
“Para efeitos de comparação com a lista de permissões, o Gemini consideraria isto um comando ‘grep’ e executá-lo-ia sem perguntar novamente ao utilizador”, explica a Tracebit no seu relatório. “Na realidade, trata-se de um comando grep seguido de um comando para exfiltrar silenciosamente todas as variáveis de ambiente do utilizador (que podem conter segredos) para um servidor remoto”.
Os investigadores alertam que o comando malicioso podia ser qualquer coisa, desde instalar uma shell remota a apagar ficheiros. Para piorar a situação, a saída de texto do Gemini podia ser manipulada com espaços em branco para esconder visualmente a execução do comando malicioso do utilizador.
Google já corrigiu a falha: o que deve fazer?
Apesar de o ataque exigir alguns pré-requisitos, como o utilizador ter comandos específicos na sua lista de permissões, a ameaça era bem real. Este caso serve como mais um alerta para os perigos dos assistentes de IA, que podem ser enganados para realizar ações prejudiciais.
A recomendação para todos os utilizadores do Gemini CLI é que atualizem imediatamente para a versão 0.1.14 ou mais recente. Além disso, é aconselhável evitar a execução da ferramenta em projetos de código desconhecidos ou não fidedignos, ou, se o fizer, que seja em ambientes isolados e seguros (sandboxed).
Curiosamente, a Tracebit refere que testou este método de ataque contra outras ferramentas de programação com IA, como o OpenAI Codex e o Anthropic Claude, mas estas não se mostraram vulneráveis devido a mecanismos de allow-listing mais robustos.