Gemini CLI的AI编码助手存在漏洞

安全团队近期在Google Gemini CLI中的一个漏洞允许攻击者使用列入允许名单的程序静默执行恶意命令并从开发人员的计算机中窃取数据。该漏洞利Gemini CLI 对“上下文文件”的处理，这些文件被读取到其提示中以帮助理解代码库，研究人员发现可以在这些文件中隐藏恶意指令以执行提示注入，而糟糕的命令解析和允许列表处理为恶意代码执行留下了空间，可以导致远程执行代码。建议Gemini CLI用户升级到0.1.14版本。