谷歌Gemini CLI编码工具曝安全漏洞，黑客可远程执行恶意指令

2025-07-31 162 007导航小编

　　谷歌最新推出的Gemini CLI编码辅助工具刚发布48小时，就被安全专家发现存在重大安全隐患。这款基于终端环境的免费开源AI工具，能够帮助开发者快速生成和修改代码，其核心依托于谷歌最先进的Gemini 2.5 Pro多模态模型。

　　安全研究人员发现，攻击者只需诱导用户执行两个简单操作：首先要求工具解析攻击者精心构造的代码包说明，其次在安全白名单中添加看似无害的指令，就能绕过内置防护机制。成功利用该漏洞后，攻击者可以悄无声息地将敏感数据外传到指定服务器，甚至执行破坏性操作。

　　值得注意的是，Gemini CLI作为命令行版的智能编程助手，其操作环境比传统IDE更为底层。这种"终端直连AI"的创新模式虽然提升了开发效率，但也带来了新的安全挑战。目前该漏洞的详细利用方式尚未公开，但已引发开发者社区对AI编程工具安全性的广泛讨论。