Google紧急修复Gemini CLI漏洞：CVSS 10分意味着什么

Google于本月初紧急发布安全更新，修复了Gemini CLI中的一个严重远程代码执行漏洞。该漏洞的CVSS评分达到满分10分，是目前可能的最高危险等级。

漏洞详情

该漏洞存在于Gemini CLI的代码执行模块，攻击者可以通过构造特定的Prompt诱导AI执行任意系统命令。由于CLI工具通常拥有较高的系统权限，攻击者可直接获取目标机器的完全控制权。

CVSS 10分是什么概念

CVSS（通用漏洞评分系统）满分10分意味着该漏洞具有最严重的危害性：攻击复杂度低，无需特殊条件即可利用；影响范围覆盖机密性、完整性、可用性三个方面；可被远程利用，无需目标系统已有任何权限。

受影响的版本

该漏洞影响Gemini CLI 1.2.0至1.4.3版本。Google已发布1.4.4版本进行修复，并建议所有用户立即升级。官方声明称，尚无证据表明该漏洞已被实际利用。

安全建议

安全团队建议：立即检查是否安装了受影响版本的Gemini CLI；升级到最新版本；审查近期的CLI使用日志；考虑在隔离环境中运行AI CLI工具。