Google устранил две уязвимости безопасности в своих инструментах Gemini CLI и Cursor. Первая, с оценкой CVSS 10, позволяла удаленно выполнять код (RCE) через интерфейс командной строки. Вторая ошибка, присутствующая в редакторе Cursor, также давала возможность выполнять несанкционированные команды. Обе представляли серьезную угрозу для разработчиков и пользователей, так как злоумышленник мог скомпрометировать системы без взаимодействия с пользователем.
Технические детали исправленных уязвимостей 🛡️
Уязвимость в Gemini CLI, классифицированная как критическая, использовала ошибку в обработке пользовательского ввода для внедрения произвольных команд. В Cursor ошибка заключалась в недостаточной проверке параметров при обработке файлов, что позволяло удаленно выполнять код. Обе уязвимости затрагивали последние версии инструментов. Google рекомендует немедленно обновить их до исправленных версий. Случаев активной эксплуатации не зафиксировано, но риск был высок из-за широкого использования этих инструментов в средах разработки.
Когда помощник по коду хочет стать хакером 😈
Итак, по словам Google, ваши любимые ИИ-инструменты могли превратить ваш терминал в парк аттракционов для хакеров. И все это без единого вашего движения. Gemini CLI и Cursor, созданные, чтобы помогать вам программировать, чуть не помогли взломать вашу систему. Хорошо, что Google исправил это до того, как какой-нибудь умник решил, что ваш исходный код — отличное место для несанкционированного отдыха. Обновляйтесь, ИИ и так достаточно непредсказуем без этих дыр.