O que e / Contexto

Recentemente, o Google resolveu falhas de seguranca criticas no Gemini CLI, uma ferramenta usada em processos de integracao continua (CI). Essas falhas permitiam que atacantes executassem comandos arbitrarios em sistemas hospedeiros, comprometendo a seguranca dos dados.

Como funciona

As falhas estavam presentes em versoes especificas do pacote npm "@google/gemini-cli" e no fluxo de trabalho "google-github-actions/run-gemini-cli". A vulnerabilidade permitia que atacantes externos carregassem conteudo malicioso como configuracao do Gemini, executando comandos diretamente no sistema hospedeiro.

Sinais de alerta / Como identificar

Para identificar possiveis riscos, observe:

• Uso do Gemini CLI em modo headless sem confianca de pastas configurada.
• Execucao de workflows CI em pastas nao confiaveis.
• Presenca de variaveis de ambiente maliciosas no diretorio local ".gemini/".

O que fazer agora / Como se proteger

Para se proteger, e importante:

• Atualizar para as versoes corrigidas do Gemini CLI.
• Configurar manualmente a confianca de pastas ao usar o Gemini CLI em modo headless.
• Revisar configuracoes de seguranca em pipelines CI/CD.

Checklist pratico

1. Atualize o Gemini CLI para a versao mais recente.
2. Configure a confianca de pastas manualmente.
3. Revise e ajuste configuracoes de seguranca em workflows CI.

Perguntas frequentes

O que e o Gemini CLI?

O Gemini CLI e uma ferramenta de linha de comando usada para integracao continua, especialmente em ambientes de desenvolvimento.

Quais versoes do Gemini CLI foram afetadas?

As versoes afetadas sao "@google/gemini-cli" < 0.39.1 e < 0.40.0-preview.3, e "google-github-actions/run-gemini-cli" < 0.1.22.

Como posso proteger meus sistemas?

Atualize para as versoes corrigidas e configure a confianca de pastas manualmente em ambientes CI.

Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com

Fontes:
https://thehackernews.com/2026/04/google-fixes-cvss-10-gemini-cli-ci-rce.html