O Google corrigiu uma falha crítica no Gemini CLI que poderia permitir execução remota de código em fluxos automatizados, sobretudo em ambientes sem interação humana, como pipelines de CI/CD.
O problema afeta o pacote @google/gemini-cli no npm e também a action google-github-actions/run-gemini-cli, usada em automações no GitHub.
A brecha combina dois erros de segurança. O primeiro está no tratamento de confiança do diretório de trabalho em modo headless, que em versões anteriores passava a confiar automaticamente na workspace atual. O segundo envolve um desvio das restrições de ferramentas quando o recurso –yolo era usado.
Na prática, isso criava um cenário perigoso em pipelines que processam conteúdo não confiável, como pull requests, issues ou repositórios controlados por terceiros. Nesses casos, um atacante poderia inserir arquivos maliciosos na pasta .gemini/ e levar a ferramenta a carregar configurações ou variáveis de ambiente sem aprovação explícita.
O impacto declarado pelo Google se concentra em implantações headless, mas esse recorte já alcança um número relevante de workflows modernos. Em ambientes de desenvolvimento, uma falha desse tipo pode expor segredos, comprometer jobs automatizados e abrir caminho para abuso da própria infraestrutura de build.
Como resposta, o Google disponibilizou versões corrigidas e alterou o comportamento de segurança do modo headless.
