🔥 この記事の詳細
2026-05-01 更新
B
今週中

GoogleのAIツールであるGemini CLIおよび関連するGitHub Actionsにおいて、CVSS 10.0の極めて深刻な脆弱性

脆弱性🌐 英語ソース
📅 2026-05-01📰 dailysecu
📌 一言でいうと
GoogleのAIツールであるGemini CLIおよび関連するGitHub Actionsにおいて、CVSS 10.0の極めて深刻な脆弱性が発見されました。攻撃者が悪意のある設定ファイルを注入することで、サンドボックスを回避して任意のコードを実行できる可能性があります。特にCI/CDパイプラインなどの自動化環境(ヘッドレスモード)において、信頼されていないフォルダの設定ファイルを自動的に読み込む仕様が悪用されるリスクがあります。Googleは対策として、作業スペースの明示的な信頼設定を必須とする修正を行いました。
🏢影響範囲
Gemini CLI (@google/gemini-cli) および google-github-actions/run-gemini-cli を利用して開発・自動化を行っている組織および開発者
該当時の対応
Gemini CLIおよび関連するGitHub Actionsを最新バージョンにアップデートし、作業ディレクトリの信頼設定が正しく適用されているか確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Google Gemini CLI 任意コード実行脆弱性への対応について

お疲れさまです。Gemini CLIに関する深刻な脆弱性の情報共有です。

■ 概要
GoogleのGemini CLIおよびGitHub Actionsにおいて、悪意のある設定ファイルを介して任意のコードが実行される脆弱性が報告されました。CVSSスコアは10.0(最高レベル)と評価されており、特にCI/CDパイプライン等の自動化環境でリスクが高まります。

■ 影響範囲
- npmパッケージ: @google/gemini-cli
- GitHub Actions: google-github-actions/run-gemini-cli

■ 対応手順
1. 利用しているGemini CLIおよびGitHub Actionsを最新バージョンに更新してください。
2. 信頼されていない外部リポジトリや設定ファイルを自動的に読み込む設定になっていないか確認してください。
3. Googleが導入した「フォルダ信頼設定」の要件に従い、明示的に信頼したワークスペースのみで動作させる運用を徹底してください。

■ 参考情報
- Nob Security Analysis

対応優先度: 高
対応期限: 直ちに実施
Subject: [Security Alert] Arbitrary Code Execution Vulnerability in Google Gemini CLI

Dear IT/Security Team,

We are sharing critical information regarding a vulnerability found in Google's Gemini CLI.

■ Overview
A critical vulnerability (CVSS 10.0) has been identified in the Gemini CLI and its associated GitHub Actions. Attackers can execute arbitrary code by injecting malicious configuration files, bypassing sandboxing. This is particularly dangerous in headless modes used within CI/CD pipelines.

■ Affected Components
- npm package: @google/gemini-cli
- GitHub Action: google-github-actions/run-gemini-cli

■ Mitigation Steps
1. Update Gemini CLI and the corresponding GitHub Actions to the latest version immediately.
2. Review CI/CD workflows to ensure that untrusted external repositories are not automatically processed.
3. Implement the mandatory 'folder trust' settings as required by the latest Google update to ensure only trusted workspaces are executed.

■ Reference
- Nob Security Analysis

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-01 のまとめ🔍 記事を検索