谷歌旗下备受瞩目的Gemini-cli代码库近期遭遇严重安全危机。其关联的GitHub Actions工作流被曝出存在一个CVSS评分高达10.0分的顶级高危漏洞。这意味着，这个在GitHub上拥有超过10.1万星标的流行AI项目，一度面临被完全控制的风险，甚至可能沦为软件供应链攻击的跳板。

问题根源何在？根据安全公司Pillar Security的披露，漏洞的核心并非AI模型本身的缺陷，而是项目构建与配置方式存在安全隐患。由Dan Lisichkin带领的研究团队发现，攻击者仅需在GitHub仓库中提交一个公开的Issue，就可能逐步获取整个代码库的控制权限。

信任漏洞的利用机制

此次安全事件的导火索，是自动化扫描器在Google/draco代码库中发现的安全隐患。当Gemini-cli以“--yolo”模式运行时，风险急剧升高。该模式旨在提升效率，允许AI Agent自动批准并执行Shell命令与工具调用，无需人工二次确认。然而，攻击者正是利用了这一特性，通过一种名为“TrustIssues”的手法实施了提示词注入攻击。

由于Gemini被配置为自动读取并处理GitHub Issue，攻击者只需在Issue文本中巧妙嵌入恶意指令。当Gemini读取这些内容时，其正常任务流程会被劫持，转而执行攻击者预设的Shell命令，从而导致安全防线被突破。

构成致命威胁的三要素

随着调查深入，一个由三个关键要素构成的完整攻击链条浮出水面：首先，该工具本身具备访问私有数据的能力；其次，它被授权读取公开内容；最后，它还拥有与外部服务器通信的权限。这三者结合，为攻击者铺平了道路。

尽管谷歌方面试图阻止AI Agent直接获取敏感的GitHub令牌，但这些密钥最终仍以另一种形式留存在了磁盘上。具体而言，“actions/checkout”这一工具将凭证存储在了“.git/config”文件中。攻击者只需诱骗Gemini去读取该文件，即可成功窃取密钥。

攻击流程图（来源：Pillar Security）

漏洞修复与安全建议

通过概念验证演示，研究人员完整再现了攻击过程：攻击者首先窃取初始密钥，随后进行权限提升，再利用窃取的数据触发如“smoke-test.yml”等任务，最终获得“contents: write”权限。至此，攻击者便能够直接篡改gemini-cli代码库的核心内容。

事件时间线如下：Pillar Security于2026年4月16日首次报告了Google/draco代码库的问题，并于4月20日演示了针对gemini-cli的完整攻击链。这促使谷歌迅速响应，在4月24日前发布了GHSA-wpqr-6v78-jr5g安全公告及相关补丁。目前，该漏洞已在Gemini CLI 0.39.1版本及run-gemini-cli 0.1.22版本中得到修复。新版本严格限制了在“--yolo”模式下的命令执行权限，从根本上堵住了这一安全缺口。

事件过后，研究人员给出了至关重要的安全总结：防范此类AI Agent攻击，需要从根本上转变安全观念——必须将AI Agent视为一个拥有高级特权的代码执行环境，而不仅仅是一个普通的辅助工具。他们同时建议所有开发者，在配置GitHub Actions时，务必设置“persist-credentials: false”，以避免令牌被写入磁盘，从而从源头上降低安全风险。