- Google va corregir una vulnerabilitat de màxima gravetat (CVSS 10.0) en Gemini CLI, tant en el paquet npm @google/gemini-cli com en el flux de treball de GitHub Actions google-github-actions/run-gemini-cli.
- La fallada permetia que atacants externs sense privilegis executaren comandos arbitraris en el sistema amfitrió, abans fins i tot que s’iniciara l’entorn controlat de proves de seguretat.
- El problema es donava en entorns CI/CD en mode «headless», en què la ferramenta confiava automàticament en els directoris de treball, fins i tot si contenien codi no de confiança (per exemple, pull requests de tercers).
Versions afectades
- @google/gemini-cli < 0.39.1
- @google/gemini-cli < 0.40.0-preview.3
- google-github-actions/run-gemini-cli < 0.1.22
Mitigació aplicada per Google
Ara els directoris han de marcar-se explícitament com de confiança abans de carregar configuracions.
Recomanacions:
- Per a entrades de confiança: definir GEMINI_TRUST_WORKSPACE: ‘true’.
- Per a entrades no de confiança: endurir els fluxos de treball seguint la guia oficial i configurar manualment la confiança.
- Es va reforçar, a més, el control de ferramentes en el mode –yolo, que abans permetia executar ordes sense validació, fins i tot per injecció d’indicacions (prompts).
Fallades d’execució de codi en Cursor IDE
Es va identificar una vulnerabilitat greu en Cursor IDE (CVE-2026-26268, CVSS 8.1) anterior a la versió 2.5.
Permetia execució automàtica de codi mitjançant:
- Repositoris Git amb hooks maliciosos
- Instruccions ocultes processades per l’agent d’IA
- Operacions Git executades de manera autònoma per l’agent després d’una petició aparentment innòcua de l’usuari.
Causa arrel
No és un error clàssic de Cursor, sinó una interacció perillosa entre agents d’IA i funcionalitats de Git que esdevé explotable quan l’agent executa ordes sense visibilitat completa del risc.
Una altra vulnerabilitat greu: «CursorJacking» (CVSS 8.2)
Es va descobrir un problema addicional de control d’accés:
- Qualsevol extensió instal·lada pot accedir a una base de dades SQLite local.
- Això permet el robatori de claus API, tokens de sessió, segrest de comptes i pèrdues financeres.
- Esta fallada seguix sense posar pedaços.
- Cursor recomana, com a mitigació parcial, instal·lar únicament extensions de confiança, encara que el risc persistix.
Conclusió
L’article destaca com els agents d’IA integrats en ferramentes de desenrotllament poden ampliar la superfície d’atac quan es combinen amb automatització, CI/CD i repositoris no de confiança.
Subratlla la importància de:
- No confiar automàticament en entrades externes
- Revisar acuradament els permisos i fluxos de treball en ferramentes impulsades per IA
- Limitar l’execució automàtica d’ordes en sistemes crítics.
Referències