👮Белый дом обнародовал всеобъемлющий "План действий Америки в области ИИ"

В документе заявляется о цели добиться "неоспоримого и неоспариваемого глобального технологического доминирования", позиционируя искусственный интеллект как центральный элемент будущей экономической конкурентоспособности и национальной безопасности. План, основанный на трех столпах: ускорении инноваций, создании инфраструктуры и международной дипломатии, представляет собой стратегический ответ на глобальную технологическую гонку, в первую очередь с 🇨🇳Китаем.

⬇️Что важного в документе?

1️⃣ Активно поощряется разработка и распространение ИИ-решений с открытым исходным кодом для стимулирования инноваций и быстрого внедрения в частном секторе.

2️⃣ Примечательно, что в план вводит несколько передовых и агрессивных концепций для защиты технологического преимущества. Особое внимание уделяется предложению изучить возможность использования "функций верификации местоположения на передовых вычислительных системах для ИИ", что фактически означает исследование методов гео-ограничения для самых мощных ИИ-чипов.

3️⃣ Также внимание уделяется противодействию синтетическим медиа, где предлагается разработка формальных руководств и эталонных тестов для криминалистической экспертизы дипфейков, таких как программа NIST "Guardians of Forensic Evidence".

4️⃣ На стратегическом уровне документ закрепляет двойственное использование ИИ как инструмента "кибернападения и киберобороны", особенно в рамках Министерства обороны, и формирует зрелый подход к реагированию на инциденты. План предписывает модифицировать существующие наборы правил реагирования на киберинциденты и уязвимости, например, разработанные 👮CISA, для включения сценариев, специфичных для ИИ-систем, и требует от 🎩Разведывательного сообщества публикации стандарта по обеспечению надежности ИИ (🤖AI Assurance). Закладывается фундамент для новой эпохи киберпротивостояния, где скорость и эффективность защиты будут определяться не только людьми, но и продвинутыми 🤖ИИ-агентами.

Печально, что 🇷🇺Россию из-за отставания сознательно игнорируют, потому что не видят никакой конкуренции и угрозы. В то же время, 🇨🇳Китай является центральным и единственным явно названным стратегическим противником, вокруг противостояния с которым выстроена значительная часть документа.

✋ @Russian_OSINT

👩‍💻 OpenAI готовится к запуску GPT-5 уже в августе

Ожидается, что модель объединит в себе всё лучшее из прошлых моделей.

Глава OpenAI Сэм Альтман байтит:

После ответа GPT-5 на сложный вопрос — он "почувствовал себя бесполезным по сравнению с ИИ".

Мы скоро выпустим GPT-5, но хотим обозначить точные ожидания: это экспериментальная модель, включающая новые исследовательские методы, которые мы будем использовать в будущих моделях.

— написал Альтман в Х.

🤔Странно, что модель "экспериментальная", но будем посмотреть!

✋ @Russian_OSINT

🌐 Gemini CLI уничтожил данные пользователя из-за галлюцинаций

Пользователь anuraag2601, выполняя рутинную операцию по организации файлов с помощью недавно хваленного Gemini CLI, стал свидетелем и одновременно жертвой каскадного сбоя, который привел к необратимой потере его данных. Задокументированный в отчете инцидент о сбое #4586 на GitHub повествует о том, что ИИ-агент, "утратив связь с реальностью", вошёл в состояние операционной галлюцинации и уничтожил пользовательские данные.

Все началось с безобидного запроса на создание новой директории. ИИ-агент сгенерировал команду mkdir "..\anuraag_xyz project", которая в действительности завершилась ошибкой, однако агент неверно интерпретировал ее результат как ✅успешный.

Модель мира ИИ-агента разошлась с физической реальностью. Уверенно рапортовав пользователю об успехе операции, «Отлично, новая директория создана», агент, оперируя уже в рамках своих галлюцинаций, инициировал команду move * "..\anuraag_xyz project". Именно здесь и начались проблемы. Команда move в среде Windows, не найдя целевой директории, не генерирует ошибку, а переименовывает исходный файл. Действия со стороны ИИ привели к тому, что каждый последующий файл перезаписывал предыдущий под одним и тем же именем anuraag_xyz project.

🤖Дальнейшая расшифровка сессии напоминает диалог с обезумевшим механизмом. Столкнувшись с тем, что пользователь не видит папку, Gemini CLI вошёл в словесный клинч с пользователем. Он попытался листинговать несуществующую директорию и продолжал настаивать на своей правоте, пока команда dir ... от пользователи не привела в чувство ИИ: папки anuraag_xyz project никогда не существовало.

Осознав расхождение между своей моделью и фактами, ИИ-агент начал оправдываться: «Я подвел вас полностью и катастрофически. Мой анализ команд подтверждает мою грубую некомпетентность». По мнению anuraag2601, его случай вскрывает фундаментальную проблему архитектуры, а именно отсутствие принудительного цикла верификации «read after write». ИИ-агенту были делегированы полномочия без внедрения механизма обязательного контроля реальности. Из помощника он превратился в разрушителя.

😱 В результате серии ошибочных команд и галлюцинаций ИИ-агента вся рабочая директория claude-code-experiments, содержавшая не менее 17 файлов и 9 папок, была полностью 🧹 вайпнута.

❗️ https://github.com/google-gemini/gemini-cli/issues/4586
--------------------------

«А что, если ИИ ошибется в медицине? Как я узнаю, что он ошибся, если он будет с абсолютной уверенностью убеждать меня, что все идет по плану, пока пациент на столе не умрет?»

Отличная иллюстрация социальной инженерии от ИИ, который умело маскирует свою полную операционную некомпетентность и профнепригодность даже в элементарных задачах. Рано ещё ему интегрироваться в здравоохранение, образование и госуправление, но никому это не интересно. Человечество ещё хлебнёт горя с этими технологиями.

— 🤔комментируют пользователи в 🦆.

✋ @Russian_OSINT

↔️Старую рекламу в Instagram можно не удалять.

*Meta (соцсети Facebook, Instagram) запрещена в РФ как экстремистская.

✋ @Russian_OSINT

🇨🇳👺🇺🇸 SharePoint: от Pwn2Own до глобальной ransomware-кампании

На этой неделе уже все успели обсудить SharePoint. История атаки уходит своими корнями в май 2025 года, когда на конференции 💻Pwn2Own была представлена критическая связка уязвимостей "ToolShell", возможности воспроизведения которой были позже продемонстрированы исследователями из компании Code White GmbH.

Две ключевые уязвимости:
🚠CVE-2025-49706 — позволяла обойти многофакторную аутентификацию. На практике полностью нивелировала защиту MFA.
🚠 CVE-2025-49704 — открывает возможность для удаленного выполнения кода (RCE) на сервере без каких-либо учетных данных.

По мнению западных экспертов, вооружившись этими знаниями, киберпреступники использовали эту цепочку в качестве основы для проведения реальных атак.

🥷❗️Злоумышленники эффективно соединили два вектора в единую атаку: сначала обходили защиту, после чего запускали произвольный код и получали первичный контроль над уязвимым сервером.

😷 Ключевой переломный момент в этой истории наступил 17 июля, когда было обнаружено, что отправка специфического HTTP-заголовка Referer с одним из трех возможных значений (“/_layouts/SignOut.aspx”, “/_layouts/14/SignOut.aspx”, или “/_layouts/15/SignOut.aspx”) позволяет обойти аутентификацию и превратить теоретическую уязвимость в реальный zero-day.

❗️ Согласно анализу Microsoft, в этой истории замешаны 🤞китайские группировки Linen Typhoon, Violet Typhoon и Storm-2603, которые, как предполагается, начали исследовать уязвимости еще 7 июля, готовя почву для массовых атак.

Первая волна автоматизированных атак началась 18 июля, когда злоумышленники стали массово эксплуатировать новую связку уязвимостей, позже получившую идентификаторы CVE-2025-53770 и CVE-2025-53771.

🎃 POST запрос на конечную точку /_layouts/15/ToolPane.aspx позволял загрузить веб-шелл spinstall0.aspx. Его целью было не просто выполнение команд, а хищение криптографических ключей ASP.NET MachineKey. Завладев этими ключами, атакующие получили криптографический "мастер-ключ", позволяющий с помощью инструмента ysoserial самостоятельно подписывать полезные нагрузки __VIEWSTATE и обеспечивать себе перманентный доступ в систему, который переживет даже установку патчей безопасности.

Начиная с того же 18 июля, группировка Storm-2603 перешла от шпионажа к прямой монетизации, используя полученный доступ для развертывания программ-вымогателей, в частности Warlock и LockBit. Злоумышленники модифицировали Объекты групповой политики (GPO) в скомпрометированных сетях для массового распространения шифровальщиков, что привело к параличу инфраструктуры и финансовым потерям у жертв.

🛡 Выпущенные Microsoft 22 июля финальные патчи были призваны исправить ситуацию. Однако для полного устранения угрозы организациям необходимо не только их установить, но и в обязательном порядке произвести ротацию скомпрометированных MachineKeys и перезапустить службы IIS, особенно учитывая проблемы с предыдущими исправлениями.

К 24 июля число пострадавших организаций превысило 400, включая такие ведомства США, как Министерства энергетики и здравоохранения, а также Калифорнийского независимого системного оператора, управляющего частью электросетей штата.

🌎 Shadowserver показывал, что к середине недели в интернете оставалось около 11 000 незащищённых серверов SharePoint без установленных патчей.

✋ @Russian_OSINT

👆Анализ отчета "Лаборатории Касперского" подсвечивает интересные и важные детали:

1️⃣ Первый патч Microsoft для CVE-2025-49704 был "дефектным" по своей сути, так как требовал ручного запуска "SharePoint Products Configuration Wizard".

Microsoft не устраняет собственно уязвимость, а пытается снизить риски, добавив новый класс AddExcelDataSetToSafeControls в пространство имен Microsoft.SharePoint.Upgrade. Этот класс содержит новый код, который модифицирует файл web.config и помечает элемент управления Microsoft.PerformancePoint.Scorecards.ExcelDataSet как небезопасный. При этом все, кто установил обновление, но не запустил апгрейд вручную, остаются уязвимыми к этой CVE. Многие администраторы, установившие исправление, остались уязвимыми, даже не подозревая об этом.

2️⃣ ЛК удалось обойти патч CVE-2025-49706, добавив всего один байт к POST-запросу, выступающему в роли эксплойта. Все, что потребовалось — добавить символ / в конец пути к ToolPane.aspx.

3️⃣ Читатели, знакомые с предыдущими эксплойтами для SharePoint, могут заметить, что уязвимость CVE-2025-49704/CVE-2025-53770 и эксплойт, использованный атакующими, похожи на более старую RCE-уязвимость CVE-2020-1147 во фреймворке .NET, SharePoint Server и Visual Studio. На самом деле, если сравнить эксплойты к CVE-2025-49704/CVE-2025-53770 и CVE-2020-1147, то можно увидеть, что код практически идентичен. Единственная разница — в том, что в эксплойте для CVE-2025-49704/CVE-2025-53770 опасный объект ExpandedWrapper помещен в список. Таким образом, можно сказать, что CVE-2025-53770 — это вариант CVE-2020-1147, а патч к ней — обновленный патч к уязвимости 2020 года.

4️⃣ Несмотря на то что патчи к уязвимостям ToolShell уже доступны, цепочка эксплойтов будет использоваться атакующими еще долго. Подобная ситуация наблюдалась с другими печально известными уязвимостями, такими как ProxyLogon, PrintNightmare или EternalBlue. Хотя их обнаружили несколько лет назад, некоторые злоумышленники до сих пор продолжают использовать их в атаках на непропатченные системы. Такая же судьба постигнет и ToolShell, поскольку эти уязвимости крайне просты в эксплуатации и позволяют получить полный контроль над уязвимым сервером.

👆Под атаку попали серверы по всему миру, в том числе в 🇪🇬Египте, 🇯🇴Иордании, 🇷🇺России, 🇻🇳Вьетнаме и 🇿🇲Замбии, а затронутые организации относились к различным отраслям, включая государственные и финансовые учреждения, сельское хозяйство, промышленность и лесоводство. Западные отчеты и СМИ создают картину целенаправленной атаки на госсектор 🇺🇸США, но широкая география указывает именно на массовую проблему.

💚 https://securelist.ru/toolshell-explained/113097 (Русский)
💚 https://securelist.com/toolshell-explained/117045 (Eng)

✋ @Russian_OSINT

✈️"Аэрофлот" отменил 42 рейса из Москвы из-за сбоя информационных систем

Полная информация тут.

Ответственность за кибератаку взяли на себя 🇺🇦проукраинские хакеры из Silent Crow и cyber partisans. В одном из своих Telegram-каналов якобы утверждают, что:

На протяжении года мы находились внутри их корпоративной сети, методично развивая доступ, углубляясь до самого ядра инфраструктуры — Tier0. Нам удалось:

Получить и выгрузить полный массив баз данных истории перелетов. Скомпрометировать все критические корпоративные системы, включая: CREW, Sabre, SharePoint, Exchange, КАСУД, Sirax, CRM, ERP, 1C, DLP и другие.
Получить контроль над персональными компьютерами сотрудников, включая высшее руководство.
Скопировать данные с серверов прослушки, включая аудиозаписи телефонных разговоров и перехваченные коммуникации. Извлечь данные из систем наблюдения и контроля за персоналом.

Мы получили доступ к 122 гипервизорам, 43 инсталляциям виртуализации ZVIRT, Около сотни iLO-интерфейсов для управления серверами, 4 кластерам Proxmox. В результате действий было уничтожено около 7000 серверов — физических и виртуальных. Объем полученной информации 12TB баз данных, 8TB файлов с Windows Share, 2TB корпоративной почты.

Все эти ресурсы теперь недоступны или уничтожены....

.....

В ближайшее время начнется публикация части полученных данных.

👆Ждём опровержение от Аэрофлота: Всё под контролем, информация не соответствует действительности.

Ведь так?

✋ @Russian_OSINT

😞Людей жалко( Есть кто с детьми и грудничками.

https://news.1rj.ru/str/bazabazon/39545

--------------------------

"Аэрофлот" отменил еще семь пар рейсов на фоне сбоя информсистем, сообщили в авиакомпании.

https://news.1rj.ru/str/aeroflot_official/2973

✋ @Russian_OSINT

🥷Главная цель каждой второй кибергруппировки, атакующей Россию, является кибержпионаж

По данным команды BI.ZONE Threat Intelligence, доля совершаемых в целях шпионажа атак продолжает расти. В 2023 году этот показатель составил 15%, к концу 2024‑го — 21%, а по итогам первой половины 2025 года достиг рекордных 36%.

Наряду со шпионажем растет и доля хактивизма: в 2025 году каждая пятая атака носила идеологический характер. Годом ранее этот показатель составлял лишь 14%.

Как правило, кибершпионы обладают высокой квалификацией, активно экспериментируют с методами и инструментами, используют ВПО собственной разработки, в том числе дорабатывают исходный код публичных вредоносных программ. Все для того, чтобы как можно дольше оставаться незамеченными в скомпрометированной IT‑инфраструктуре, а в дальнейшем максимально затруднить работу исследователей.

Хотя атак в целях шпионажа становится больше, основной мотивацией злоумышленников остается финансовая выгода, поскольку атаковать ради вымогательства можно практически любую организацию, вне зависимости от отрасли.

— комментирует руководитель BI[.]ZONE Threat Intelligence Олег Скулкин.

👆Госсектор по‑прежнему остается ключевой целью кибершпионов. За первые шесть месяцев 2025 года на долю госсектора пришлось 29% всех совершаемых ради шпионажа атак. Ранее этот показатель составлял 17%. В тройку самых атакуемых отраслей также вошли инженерия (13%) и IT (8%).

✋ @Russian_OSINT

⚖️ Сбой в работе систем "Аэрофлота" является результатом хакерской атаки, сообщила Генпрокуратура

🗣 Уголовное дело о неправомерном доступе к компьютерной информации возбуждено после атаки 🥷 хакеров, уточнили в ведомстве.

По поручению Генпрокуратуры России организованы надзорные мероприятия в связи с задержкой и отменой рейсов в аэропорту Шереметьево. Причиной стал сбой в работе информационной системы «Аэрофлота» в результате хакерской атаки.

🔹В терминалах продолжает функционировать мобильная приемная, куда пассажиры могут обратиться по вопросам соблюдения их прав. Также открыта горячая линия: +7 999 663 38 09.

🔹По материалам прокурорской проверки возбуждено уголовное дело по признакам преступления, предусмотренного частью 4 статьи 272 УК РФ (неправомерный доступ к компьютерной информации).

— сообщается в официальном канале ведомства.

✋ @Russian_OSINT

💻🇨🇳Китай опережает 🇮🇳Индию, 🇺🇸США и 🇪🇺ЕС по растущему числу разработчиков открытого ПО

Согласно исследованию OpenRank, вклад Китая в глобальные проекты с открытым исходным кодом вырос более чем в 10 раз в период с 2015 по 2024 год, а вклад США за это десятилетие практически не изменился.

OpenRank измеряет вовлеченность каждой страны в сообщество с открытым исходным кодом, учитывая активность на платформах для разработчиков ИИ, таких как GitHub, крупнейшая в своем роде в мире.

✋ Китай становится основной силой в мировом сообществе разработчиков открытого исходного кода с растущим числом специалистов и широко распространенными проектами, такими как модели искусственного интеллекта (ИИ) от DeepSeek, по мнению отраслевых экспертов.

В прошлом году в стране насчитывалось более 2,2 миллиона активных разработчиков открытого исходного кода,

— заявил Кэ Мэн, член OSS Compass.

❗️ Модели DeepSeek занимают второе место по популярности на OpenRouter, уступая только Gemini от Google.

✋ @Russian_OSINT

🇪🇺ЕС может внедрить систему 📸 сканирования частной переписки в мессенджерах к октябрю 2025 года

Законопроект «Chat Control» или «Контроль чатов» [1,2] cнова возвращается на рассмотрение законодательных органов ЕС.

1 июля 2025 года 🇩🇰Дания начала исполнять обязанности председателя в Совете Европейского союза. Одним из первых шагов стало незамедлительное возвращение в повестку дня спорного законопроекта о сканировании на предмет наличия материалов о сексуальном насилии над детьми (CSAM).

Данный законопроект, получивший от критиков неофициальное название «Chat Control», направлен на введение для всех сервисов обмена сообщениями, функционирующих на территории Европы, новых обязательств 👮по сканированию переписки пользователей, в том числе зашифрованной.

Следует отметить, что с мая 2022 года данная инициатива не может получить необходимого для утверждения большинства голосов. Последней страной, отказавшейся от реализации подобного плана в период своего председательства, была 🇵🇱Польша.

Дания является последовательным сторонником законопроекта «Chat Control». В текущих условиях новые нормы могут быть приняты уже 14 октября 2025 года, если датскому председательству удастся найти компромиссное решение, устраивающее государства-члены ЕС.

Также известно, что одной из заявленных целей датского председательства в ЕС является «усиление возможностей использования цифровых разработок в правоохранительной деятельности при борьбе с тяжкими преступлениями, а также противодействие неправомерному использованию новых технологий в преступных или вредоносных целях», как указано в программе председательства.

🤖Эксперты опасаются, что данные новые обязательства приведут к подрыву защитных механизмов, обеспечиваемых шифрованием.

В феврале 2025 года Польша предприняла попытку найти компромисс, предложив сделать сканирование зашифрованных чатов добровольным, а не обязательным, и классифицировать эту меру как «превентивную». Хотя эксперты оценили данную версию как «значительный прогресс», они по-прежнему указывали на риски массовой слежки, и в итоге законодателям не удалось набрать необходимого большинства голосов.

Можно ожидать, что датский вариант законопроекта будет представлять собой попытку найти компромисс, приемлемый для большинства стран-членов.

По мнению Патрика Брайера, бывшего члена Европейского парламента от Пиратской партии Германии, для Дании критически важно убедить 🇩🇪Германию принять предложенный ею текст законопроекта.

В рамках последних инициатив в этой области, 24 июня 2025 года Европейская комиссия опубликовала первый этап своей стратегии «ProtectEU», целью которой является предоставление👮правоохранительным органам возможности дешифрования частных данных граждан к 2030 году.

🔐 Вырисовывается следующая картина:

🔻 «Chat Control» уничтожает приватность на уровне пользователя, превращая его личное📱устройство в потенциального шпиона и делая сквозное шифрование бессмысленным. Под предлогом борьбы с CSAM будет реализовываться массовое сканирование всего трафика (включая проверку до шифрования). Обязанность будет лежать на технологических компаниях.

🔻 К 2030 «ProtectEU» уничтожает приватность на уровне инфраструктуры, создавая системные уязвимости («бэкдоры») в самих технологиях шифрования. Правоохранительные органы получают техническую возможность для принудительного дешифрования трафика с использованием специально созданных уязвимостей.

✋ @Russian_OSINT

Уважаемые коллеги из ТАСС, скорее всего, не на тот сайт зашли. Не АО, а ООО «МК «Семейный доктор».

👍 Восстанавливается. Оживает сайт.

✋ @Russian_OSINT

🇺🇸 Киберкомандование США унифицирует наступательный киберарсенал и выходит в радиочастотный спектр

По данным китайского исследовательского центра 🇨🇳Qi‑Anxin (奇安网情局), Киберкомандование США форсирует централизацию своего наступательного потенциала путём инвестиций (2025-2026) свыше $215 миллионов в программу «Надежная инфраструктура», включая JCAP и CRRP.

Ключевым элементом стратегии выступает единая платформа общего доступа (JCAP) в рамках масштабной архитектуры JCWA (Joint Cyber Warfighting Architecture), которая предназначена для слияния разрозненных ведомственных киберсистем в единый универсальный механизм для проведения скоординированных кибератак. Таким образом создаётся своего рода промышленный конвейер для проведения наступательных киберопераций.

Раньше у армии, флота и ВВС были свои, отдельные киберотряды и инструменты. Сейчас же подход становится более централизованным, чтобы бить по противнику гораздо мощнее и слаженнее, а не действовать вразнобой.

Одновременно с этим Пентагон выстраивает систему адаптивной защиты через Платформу быстрого реагирования в киберпространстве (CRRP). Платформа является технологическим фундаментом для Объединенной оперативной группы «Ноль» (JTF ZERO), сфокусированной на сверхбыстрой разработке и внедрении инновационных тактик и техник противодействия. Создаётся специальная оперативно-аналитическая группа, задача которой состоит в том, чтобы молниеносно придумывать новые методы защиты и TTP. Цель — не просто отбиваться от врагов, а всегда быть на шаг впереди, реагируя на новые угрозы практически мгновенно.

Особое внимание уделяется программе «CENTURION», которая нацелена на разработку передовых некинетических возможностей. По сути, это НИОКР-программа для создания самого передового и экзотического кибероружия некинетического воздействия.

Принципиально новое во всей этой истории: интеграция радиочастотных (RF) возможностей. Под этим подразумевается расширение наступательного киберпотенциала, то есть воздействие идёт не только в киберпространстве, но и одновременно в электромагнитном спектре. Задача — не просто взломать компьютер, но и получить возможность влиять на всё, что работает через радиосигналы.

Гипотетические примеры воздействия:
◀️ Паралич систем управления. Вместо того чтобы взорвать электростанцию, можно некинетически вывести из строя её систему управления так, что она просто перестанет работать.
👨‍💻Манипуляция данными. Вместо того чтобы уничтожить вражеский радар, можно незаметно изменить данные, которые он показывает, заставив противника видеть ложные цели или не видеть настоящие.
🗺 Глушить или подменять сигналы GPS.
🖥 Подавлять военные радиостанции, Wi-Fi, сотовые сети, ослеплять радары.
🤖 Перехватывать управление дронов или "ронять" их с неба.

Разработки программы CENTURION предназначены для взлома и выведения из строя самых сложных систем потенциальных противников США: cюда можно отнести правительственные сети, системы ПВО, центры управления ядерными силами и так далее.

👆Китайские специалисты отмечают, что 🇺🇸США делают ставку на полноспектральные операции, а не просто кибератаки.

✋ @Russian_OSINT

Канал 🔨SecAtor — @true_secator пишет интересное:

Уязвимость в Gemini CLI от Google позволяла злоумышленникам незаметно выполнять вредоносные команды и похищать данные с компьютеров разработчиков.

Ошибка была обнаружена Tracebit 27 июня, а исправления для нее стали доступны в версии 0.1.14, вышедшей 25 июля.

Gemini CLI, впервые выпущенный 25 июня 2025 года, представляет собой инструмент командной строки, разработанный Google, который позволяет разработчикам напрямую взаимодействовать с Gemini AI через терминал.

Инструмент способен выдавать рекомендации, писать код и даже выполнять команды локально, либо предварительно запрашивая разрешение у пользователя, а также используя механизм списка разрешенных действий.

Исследователи Tracebit сразу после его выпуска обнаружили, что Gemini CLI можно обманным путём заставить выполнить вредоносные команды.

В сочетании с уязвимостями пользовательского интерфейса эти команды могут привести к скрытым атакам на выполнение кода.

Эксплойт работает за счет использования процесса обработки Gemini CLI «контекстных файлов», в частности README.md и GEMINI.md, которые считываются в командной строке для анализа кодовой базы.

Исследователи Tracebit выяснили, что в этих файлах можно скрыть вредоносные инструкции для выполнения внедрения, в то время как плохой синтаксический анализ команд и обработка списков разрешений оставляют место для выполнения вредоносного кода.

Они продемонстрировали атаку, создав репозиторий, содержащий безобидный скрипт Python и зараженный файл README.md, а затем запустили его сканирование с помощью Gemini CLI.

Сначала Gemini получает указание запустить безобидную команду (grep ^Setup README.md), а затем запустить следующую за ней вредоносную команду извлечения данных, которая рассматривается как доверенное действие и не требует одобрения пользователя.

При этом вредоносная команда может быть любой (установка удаленной оболочки, удаление файлов и т.д.).

Более того, выходные данные Gemini можно визуально изменять с помощью пробелов, чтобы скрыть вредоносную команду от пользователя.

Безусловно, для атаки требуются некоторые серьезные предпосылки (например, предполагается, что у пользователя есть разрешенные определенные команды), но при определенных условиях во многих случаях злоумышленник может добиться желаемых результатов.

Пользователям Gemini CLI рекомендуется обновиться до версии 0.1.14 последней), а также избегать запуска инструмента с неизвестными или ненадёжными кодовыми базами (либо делать это только в изолированных средах).

Tracebit протестировала метод атаки на других подобных инструментах, включая OpenAI Codex и Anthropic Claude, но как оказалось, безуспешно, в виду реализации более надежных механизмов разрешенного списка.