Gemini Cli

O Google anunciou a correção de uma vulnerabilidade de gravidade máxima no pacote npm ‘@google/gemini-cli’ e no fluxo de trabalho ‘google-github-actions/run-gemini-cli’, que poderia permitir a execução de comandos arbitrários em sistemas host. Segundo a Novee Security, a falha permitia que um atacante externo não privilegiado forçasse o carregamento de conteúdo malicioso como configuração do Gemini, resultando em execução de comandos diretamente no sistema host, antes mesmo da inicialização do sandbox do agente. A vulnerabilidade, que não possui um identificador CVE, apresenta uma pontuação CVSS de 10.0 e afeta versões específicas do Gemini CLI. O Google destacou que o impacto é limitado a fluxos de trabalho que utilizam o Gemini CLI em modo headless, e recomenda que os usuários revisem suas configurações para garantir que apenas pastas confiáveis sejam utilizadas. Além disso, a empresa está implementando medidas para reforçar a lista de permissões de ferramentas quando o Gemini CLI é configurado para rodar em modo –yolo, evitando que entradas não confiáveis possam levar à execução remota de código. O artigo também menciona uma vulnerabilidade no Cursor, uma ferramenta de desenvolvimento, que poderia resultar em execução de código arbitrário devido a uma interação de recursos no Git.

O Kali Linux 2025.3 apresenta o Gemini CLI, uma interface de linha de comando de código aberto que integra a inteligência artificial Gemini do Google diretamente no terminal. Essa ferramenta inovadora transforma o teste de penetração tradicional ao automatizar tarefas de reconhecimento, enumeração e varredura de vulnerabilidades. Com comandos em linguagem natural, os profissionais de segurança podem delegar fluxos de trabalho repetitivos e se concentrar em análises mais profundas e remediações estratégicas.