Исследователи компании Tracebit за менее чем 48 часов после запуска Gemini CLI — нового AI-инструмента Google для работы в терминале — нашли уязвимость, позволявшую обойти встроенные защиты и незаметно отправлять данные на сервер злоумышленников. Gemini CLI основан на модели Gemini 2.5 Pro и предназначен для помощи разработчикам в написании кода прямо из командной строки, но оказался уязвим к атакам типа prompt-injection.

Эксплойт использовал простой сценарий: пользователю нужно было лишь попросить инструмент описать пакет кода и добавить безобидную команду в allow list. Вредонос встраивался в README.md файла пакета, при этом сам код оставался полностью безопасным и внешне ничем не отличался от миллионов других в NPM, PyPI или GitHub. Таким образом, разработчики могли не заметить скрытых инструкций, тогда как Gemini CLI их обрабатывал полностью.

Случай демонстрирует ключевую проблему AI-инструментов для кодинга: уязвимость к скрытым текстовым атакам внутри документации и supply-chain рискам. Prompt-injection признан крупнейшей угрозой безопасности подобных систем, и инцидент с Gemini CLI подтверждает актуальность этой угрозы для экосистемы разработчиков.