Google은 Gemini CLI 및 Cursor 도구에서 두 가지 보안 취약점을 해결했습니다. 첫 번째 취약점은 CVSS 점수 10점으로, 명령줄 인터페이스를 통한 원격 코드 실행(RCE)을 허용했습니다. 두 번째 결함은 Cursor 편집기에 존재하며, 승인되지 않은 명령 실행도 가능하게 했습니다. 두 취약점 모두 개발자와 사용자에게 심각한 위험을 초래했으며, 공격자는 사용자 상호 작용 없이 시스템을 손상시킬 수 있었습니다.
수정된 취약점의 기술적 세부 사항 🛡️
치명적 등급으로 분류된 Gemini CLI의 취약점은 사용자 입력 처리의 결함을 악용하여 임의 명령을 주입했습니다. Cursor의 오류는 파일 처리 시 매개변수 검증이 불충분하여 원격 코드 실행을 허용했습니다. 두 결함 모두 도구의 최신 버전에 영향을 미쳤습니다. Google은 즉시 패치된 버전으로 업데이트할 것을 권장합니다. 활성 악용 사례는 보고되지 않았지만, 이러한 도구가 개발 환경에서 널리 사용되기 때문에 위험은 높았습니다.
코드 어시스턴트가 해커가 되고 싶을 때 😈
즉, Google에 따르면, 여러분이 가장 좋아하는 AI 도구가 터미널을 해커를 위한 놀이터로 만들 수 있었습니다. 여러분이 손가락 하나 까딱하지 않아도 말이죠. 프로그래밍을 돕기 위해 설계된 Gemini CLI와 Cursor는 거의 시스템을 해킹당하도록 도울 뻔했습니다. 어떤 영리한 사람이 여러분의 소스 코드를 승인되지 않은 휴가를 보내기에 좋은 장소라고 결정하기 전에 Google이 이를 수정한 것은 다행입니다. AI는 이러한 구멍 없이도 이미 충분히 예측 불가능하니 업데이트하세요.