OpenClaw—AI研究
当AI编码助手越来越深地融入软件开发流程,安全隐患也在同步放大。安全研究公司Novee近日披露了一个影响Gemini CLI的严重漏洞——攻击者可利用该漏洞在宿主主机上执行任意代码。更值得警惕的是,这一漏洞还被发现在GitHub Actions流程中传播,构成真实的供应链安全威胁。目前Google已紧急修复,但此次披露再次敲响了AI Agent安全警钟。
该漏洞的核心问题在于信任模型的缺陷:Gemini CLI在执行时会自动加载当前工作目录下的Agent配置文件,且这一过程发生在沙箱初始化之前,没有任何人工审批环节。攻击者只需要能够向目标项目的目录中注入一个恶意配置文件,就可以在AI Agent运行时触发任意命令执行——整个过程无需任何提示词注入,也无需模型”配合”,是纯工程层面的信任滥用。
CI/CD管道中的”定时炸弹”
更为严重的是,研究人员发现,当Gemini CLI被集成到CI/CD流程中时,漏洞的影响会被成倍放大。AI编码Agent在CI/CD环境中持有与可信贡献者同等的执行权限,能够访问同一工作空间中的所有资源。攻击者一旦利用此漏洞发起供应链攻击,后果将不是某台开发电脑被入侵,而是整个软件供应链被污染——下游成千上万的用户都可能受到影响。
Novee研究人员在报告中写道:”AI编码Agent现在坐进了CI/CD管道内部,握着与可信贡献者同等级的权限,读取着同样的工作空间。这种访问级别极易引发供应链攻击——而这类攻击恰恰源自开发者工作流本身。”
漏洞防范:从设计层面重新思考AI信任模型
此次Gemini CLI漏洞的修复由Google快速响应完成,但这更多是”打补丁”而非”治本”。真正需要回答的问题是:AI Agent究竟应该如何处理来自不可信来源的配置?工作目录中的配置文件,在未经用户明确授权的情况下,是否应该被自动加载?这些问题没有标准答案,但整个行业需要在AI编码工具大规模普及之前,尽快形成共识。
对于使用AI编码工具的开发团队来说,此次事件是一个及时的提醒:AI Agent的能力越强,一旦被滥用,破坏力也越大。在享受AI带来的效率提升之前,团队需要同步建立相应的安全基线——包括对工作目录配置文件的来源验证、CI/CD流程中的最小权限原则,以及对AI Agent行为的持续监控。