谷歌已修复其Gemini CLI和Cursor工具中的两个安全漏洞。第一个漏洞的CVSS评分为10,允许通过命令行界面远程执行代码(RCE)。第二个漏洞存在于Cursor编辑器中,同样可实现未授权命令执行。这两个漏洞对开发者和用户构成严重风险,因为攻击者可在无需用户交互的情况下入侵系统。
已修复漏洞的技术细节 🛡️
Gemini CLI中的漏洞被归类为严重级别,它利用了用户输入处理中的缺陷来注入任意命令。在Cursor中,错误在于处理文件时参数验证不足,从而允许远程代码执行。这两个漏洞均影响这些工具的最新版本。谷歌建议立即更新至已修补的版本。目前尚未报告有主动利用案例,但由于这些工具在开发环境中的广泛使用,风险仍然很高。
当代码助手想当黑客时 😈
所以,根据谷歌的说法,你最喜欢的AI工具可能让你的终端变成黑客的游乐场。而且你完全无需动手。Gemini CLI和Cursor,本为帮助你编程而设计,却差点帮你被黑客入侵系统。幸好谷歌在某个聪明人决定将你的源代码当作未经授权度假胜地之前修复了它。赶紧更新吧,毕竟没有这些漏洞,AI已经够不可预测了。