Googleは、Gemini CLIとCursorのツールにおける2つのセキュリティ脆弱性を修正しました。1つ目はCVSSスコア10で、コマンドラインインターフェースを介したリモートコード実行(RCE)を可能にするものでした。2つ目の欠陥はCursorエディタに存在し、こちらも不正なコマンド実行を可能にしていました。どちらも開発者やユーザーにとって深刻なリスクであり、攻撃者はユーザーの操作なしにシステムを危険にさらす可能性がありました。
修正された脆弱性の技術的詳細 🛡️
Gemini CLIの脆弱性はクリティカルと分類され、ユーザー入力の処理における欠陥を悪用して任意のコマンドを注入するものでした。Cursorでは、ファイル処理時のパラメータ検証が不十分であることにエラーがあり、リモートコード実行を可能にしていました。どちらの欠陥も、これらのツールの最近のバージョンに影響を与えていました。Googleは直ちにパッチ適用済みのバージョンにアップデートすることを推奨しています。活発な悪用事例は報告されていませんが、これらのツールが開発環境で広く使用されているため、リスクは高いものでした。
コードアシスタントがハッカーになりたがった時 😈
つまり、Googleによれば、あなたのお気に入りのAIツールは、あなたのターミナルをハッカーの遊び場に変える可能性があったのです。しかも、あなたが指一本動かさなくても。プログラミングを支援するために設計されたGemini CLIとCursorは、あなたのシステムをハッキングされるのを助けるところでした。Googleが、誰かがあなたのソースコードを不正な休暇先にしようと決める前に修正してくれて良かったです。これらの穴がなければ、AIはすでに十分予測不可能なのですから、アップデートしましょう。