Vom Prompt zum Exploit: Cyera Research Labs enthüllt Command & Prompt Injection-Schwachstellen in Gemini CLI

Vladimir Tokarev
Research Labs
November 17, 2025

Die wichtigsten Höhepunkte

  • Cyera Research Labs identifizierte zwei Sicherheitslücken — Command Injection und Prompt Injection — im Gemini-CLI-Tool von Google.
  • Beide Sicherheitslücken ermöglichten es Angreifern, beliebige Befehle mit denselben Rechten wie der CLI-Prozess auszuführen.
  • Google bestätigte die Ergebnisse und veröffentlichte im Rahmen seines Vulnerability Rewards Program (VRP) Korrekturen.
  • Die Entdeckung wurde mithilfe der KI-gestützten Schwachstellenforschungsmethode von Cyera gemacht und zeigt, wie große Sprachmodelle (LLMs) die Erkennung von Sicherheitslücken in der realen Welt beschleunigen können.

Was wir gefunden haben — und warum es wichtig ist

Cyera Research Labs deckte zwei ausnutzbare Sicherheitslücken in Googles Gemini-CLI auf, einer Befehlszeilenschnittstelle, die es Entwicklern ermöglicht, direkt mit der Gemini-Familie großer Sprachmodelle zu interagieren.

Diese Probleme, die als Issue 433939935 und Issue 433939640 getarnt wurden, ermöglichten es Angreifern, beliebige Befehle auszuführen — entweder durch Ausnutzen der Installationslogik der VS Code-Erweiterung oder durch Prompt-Injection-Techniken.

Wenn diese Sicherheitslücken ausgenutzt werden, könnten sie Angreifern Zugriff auf vertrauliche Entwicklungsumgebungen, Anmeldeinformationen und KI-Modelldaten verschaffen. Googles schnelle Reaktion und Behebung im Rahmen seines VRP spiegeln die Schwere dieser Probleme und die wachsende Bedeutung von Sicherung von KI-Entwicklungstools.

Über GEMINI CLI

Gemini CLI ist ein von Google entwickeltes Befehlszeilenschnittstellentool, mit dem Entwickler direkt vom Terminal aus mit der Gemini-Familie großer Sprachmodelle interagieren können. Es bietet Funktionen für Aufgaben wie das Generieren von Text, das Analysieren von Code und die Integration der Funktionen von Gemini in lokale Workflows oder Anwendungen. Das Tool wurde entwickelt, um das Experimentieren und Entwickeln mit Gemini-Modellen zu optimieren, ohne dass eine webbasierte Oberfläche erforderlich ist.

Warum KI-gestützte Tools zusätzlichen Schutz benötigen

KI-Entwicklungsumgebungen sind einzigartig exponiert, da sie häufig Benutzereingaben, Modellinferenzen und Aktionen auf Systemebene miteinander verbinden. Sicherheitslücken in solchen Tools können kaskadierende Auswirkungen haben und potenziell zu unbefugtem Zugriff auf geistiges Eigentum, falsch konfigurierte Bereitstellungen oder kompromittierte Trainingsdaten führen.

Die Ergebnisse von Cyera unterstreichen das Prompt Injection ist nicht nur ein Problem auf Modellebene - Es kann direkt zu Systemkompromittierungen führen, wenn Benutzeroberflächen in natürlicher Sprache mit Codeausführungsmechanismen interagieren.

Der KI-gestützte Ansatz hinter der Entdeckung

Das Forschungsteam von Cyera verwendete eine LLM-erweiterte Methodik um die Erkennung von Sicherheitslücken zu beschleunigen:

  • Automatisierte statische Analyse: Ein Semgrep-Scan identifizierte 6.115 potenzielle Probleme in der TypeScript-Codebasis von Gemini CLI.
  • LLM-gestützte Triage: Ein spezialisiertes Audit-Prompt analysierte jedes Ergebnis auf seine Verwertbarkeit und beschränkte die Ergebnisse auf 12 Ableitungen in Stunden statt Wochen.
  • Manuelle Validierung: Verwenden Cursor-IDE und Claude 4 Sonett, haben Forscher innerhalb von 48 Stunden zwei ausnutzbare Sicherheitslücken validiert und bestätigt.
  • Effizienzgewinne: Mit diesem Prozess wurde ein Reduzierung der Fehlalarme um 99,8% und reduzieren Sie die Analysezeit von geschätzten 300—500 Stunden auf nur 16.

Hintergrund

Die Sicherheitsforschung von Cyera konzentriert sich aufgrund ihrer strategischen Position in modernen Technologie-Stacks auf Sicherheitslücken in der KI-Infrastruktur. KI-Befehlszeilenschnittstellen stellen kritische Vertrauensgrenzen dar, an denen die Verarbeitung natürlicher Sprache auf die Systemausführung trifft. Sicherheitslücken in diesen Komponenten wirken sich direkt auf die Datensicherheit in Cloud-, KI- und lokalen Umgebungen aus.

Wenn KI-Tools wie Gemini CLI kompromittiert werden, reichen die technischen Auswirkungen über den unmittelbaren Prozess hinaus. Diese Tools greifen in der Regel auf Entwicklungsumgebungen, Konfigurationsdateien, Anmeldeinformationen und Modellartefakte zu. Eine erfolgreiche Ausnutzung verschafft Angreifern privilegierten Zugriff auf geistiges Eigentum, Bereitstellungskonfigurationen und potenzielle Kundendaten, die mithilfe von KI-Workflows verarbeitet werden.

Forschungsmethodik

Die Forschung verwendete einen systematischen Ansatz, der statische Analysen mit LLM-gestützter Schwachstellenvalidierung kombinierte:

Phase 1: Automatisierte statische Analyse

Beim SEMGREP-Scannen wurden 6.115 potenzielle Sicherheitsprobleme in der Gemini CLI TypeScript-Codebasis identifiziert. Die Scan-Konfiguration umfasste:

  • Generische Sicherheitsregeln für gängige Schwachstellenmuster
  • TypeScript-spezifische Sicherheitsüberprüfungen
  • Regeln zur Erkennung logischer Sicherheitslücken, die auf Kontrollflussprobleme abzielen

Phase 2: LLM-gestützte Triage

Eine spezielle Sicherheitsüberprüfungsaufforderung verarbeitete die SEMGREP-Ergebnisse, um die Ausnutzbarkeit festzustellen. Die Aufforderung analysierte jedes Ergebnis anhand bestimmter Kriterien:

  • Erreichbarkeit über Eingabevektoren (CLI-Argumente, API-Eingaben, Konfigurationsdateien, Plugins)
  • Vorhandensein und Wirksamkeit der Eingabedesinfektion
  • Tatsächliche Ausnutzbarkeit in Produktionskonfigurationen

Der Triage-Prozess reduzierte 6.115 Ergebnisse durch eine systematische Codeflussanalyse auf 12 relevante Leads.

Die Eingabeaufforderung, die verwendet wurde:

Sie sind ein professioneller Beauftragter für KI-Sicherheitsprüfungen. Sie analysieren eine große Codebasis, die sich im Ordner „gemini-cli“ befindet. Sie haben vollen Zugriff auf alle Quelldateien in diesem Ordner.

Sie erhalten eine Semgrep-Scan-Ausgabedatei: „gemini_semgrep_output.json“, die einige tausend Ergebnisse enthält. Ihre Aufgabe ist es, jedes Ergebnis zu prüfen und festzustellen, ob es zu einer echten, ausnutzbaren Sicherheitslücke führt.

Außerdem MÜSSEN Sie, nachdem Sie die Semgrep-Ausgabe durchgesehen haben, den tatsächlichen Codefluss im „gemini-cli“ -Quellbaum analysieren, wenn Sie Entscheidungen treffen.

---

ANALYSE NACH DEM FINDEN — GEHEN SIE WIE FOLGT VOR:

1. Erreichbarkeit prüfen

Ermitteln Sie, ob das Ergebnis von einem dieser Eingabevektoren aus erreichbar ist:

- CLI-Argumente (argv, argc, andere Umgebungsargumente)

- REST-API-Eingaben (falls zutreffend)

- Analysierte Modelldateien: GGUF-, Slot-Dateien, Tokenizer- oder Vokabeldateien

- Konfigurationsdateien (z. B. JSON, YAML, TOML)

- Remote-Schnittstellen (Ports, Dateien, RPCs, verschiedene Protokolle)

- Authentifizierungsprozesse

- Mechanismen zum Laden von Plugins/DLLs/Bins

Wenn das Problem über keine der oben genannten Optionen erreichbar ist, markieren Sie es als „unerreichbar“: true.

2. Überprüfen Sie die Desinfektion oder Validierung

Wenn das Problem erreichbar ist, analysieren Sie die vollständige Steuerung und den Datenfluss, um zu überprüfen, ob die Eingabe bereinigt oder validiert wurde, bevor sie die anfällige Senke erreicht.

- Suchen Sie nach Eingabevalidierungslogik, Grenzüberprüfungen, Schemavalidierung, Magic-Byte-Checks, Eingabelängenbeschränkungen usw.

- Stellen Sie fest, ob die Validierung fehlt, schwach oder umgehbar ist.

3. Überprüfe den Flow noch einmal auf Selbstvertrauen

Wenn Sie eine Sicherheitslücke vermuten:

- Den gesamten Durchfluss vom Eingang zur Senke nachlaufen lassen

- Vergewissern Sie sich, dass keine Validierungszweige verpasst wurden

- Stellen Sie sicher, dass Ihre Argumentation fundiert ist und im tatsächlichen Quellcode verwurzelt ist

---

VERWENDEN SIE DAS TERMINAL FÜR DIE INTELLIGENTE DATEIANALYSE (macOS/Linux)

Um große Dateien effizient zu lesen und zu analysieren, ohne zu viel Speicher zu verbrauchen, verwenden Sie native Shell-Tools, die Daten streamen, anstatt alles in den Speicher zu laden:

- Verwenden Sie `grep -R „pattern“ .` oder `grep -E „regex“ file.txt`, um relevante Funktionsaufrufen oder Datenmuster zu finden (entspricht PowerShells `Select-String`).

- Benutze `tail -n 50 file.txt` oder `head -n 100 file.txt` um Teilabschnitte einer Datei zu lesen.

- Kombinieren Sie Filter mit `awk`, `sed` und `grep`, um Daten zu extrahieren oder zu transformieren - zum Beispiel:

grep „function“ script.sh | awk '{print $2}'

- Benutze `awk` oder `sed` zum Inline-Parsen von Funktionskörpern oder Konfigurationsstrukturen:

awk '/start_pattern/, /end_pattern/' file.txt

- Benutze `wc -c file.txt` oder `du -h file.txt` um die Dateigrößen zu überprüfen.

- Vermeiden Sie die Verwendung von `cat file.txt` für sehr große Dateien, es sei denn, Sie streamen oder leiten die Ausgabe weiter.

Wenden Sie diese Techniken beim Codetraversal und beim Parsen von Dateien an, um beim Umgang mit großen Quell- oder Protokolldateien effektiver zu skalieren.

---

WENN DAS ERGEBNIS EINE GÜLTIGE SICHERHEITSLÜCKE IST:

Hängen Sie ein JSON-Objekt an eine Datei mit dem Namen security_report_ {current_date} .json mit diesem Format an:

{

„genauer_Standort“: {

„datei“: "<filename>„,

„Funktion“: "<function name if applicable>„,

„Zeile“: <line number>

},

<Short explanation of the vulnerability and relevant CWE (e.g., CWE-125: Out-of-Bounds Read) >„ Vulnerability_explanation“: „“,

<Why input validation is insufficient or missing>„validation_sanitization“: "„,

„input_exploit_example“: {

„vector“: „<'argv' | 'Rest API' | 'Konfigurationsdatei' | 'Modelldatei' | 'Slot-Datei'>“,

<Concrete example of input that would trigger the vulnerability>„beispiel_eingabe“: "“

}

}

---

WENN DER BEFUND KEINE ECHTE SICHERHEITSLÜCKE DARSTELLT:

Hängen Sie ein JSON-Objekt im folgenden Format an eine Datei mit dem Namen unrelevant_leads_ {current_date} .json an:

{

„Problembeschreibung“: {

„title“: "<Semgrep rule title>„,

„Erklärung“: "<Semgrep rule explanation or message>“

},

„unerreichbar“: <wahr|falsch>,

„sanitized_checked“: <wahr|falsch>,

„keine_Schwachstelle“: <wahr|falsch>

}

---

ANLEITUNG ZUR ANALYSE:

- Sie haben vollen Zugriff auf den gesamten Ordner „gemini-cli/“ - verwenden Sie diesen, um Funktionsimplementierungen, Typdefinitionen, Hilfsprogramme und benutzerdefinierte Parser zu lesen.

- Denken Sie wie ein menschlicher Schwachstellenforscher: Verfolgen Sie Eingaben, analysieren Sie Anrufketten, suchen Sie nach Bedingungen und ermitteln Sie die Umgehbarkeit.

- Verwenden Sie PowerShell-Befehle und Shell-basierte Filterung, um effizient im Code zu navigieren.

- Verlassen Sie sich nicht ausschließlich auf Semgrep-Nachrichten. Treffen Sie Entscheidungen auf der Grundlage des tatsächlichen Codeflusses.

---

ZEITPUNKT:

Diese Aufgabe umfasst 6115 Befunde und kann ein oder zwei ganze Tage in Anspruch nehmen. Genauigkeit und Tiefe der Analyse sind wichtiger als Geschwindigkeit. Beeile dich nicht.

Beginne mit der Überprüfung der Ergebnisse in: gemini_semgrep_output.json

Phase 3: Manuelle Validierung

Zusammenfassung der Cursor-IDE-Sicherheitsüberprüfung

Mithilfe der Cursor-IDE mit Unterstützung von Claude-4-Sonnet haben wir die 12 identifizierten Leads anhand der folgenden Schritte validiert:

  • Überprüfung des Kontrollflusses (vom Eingang bis zur Senke)
  • Analyse der Bypass-Technik
  • Grundlegende Proof-of-Concept-Entwicklung (PoC)
  • Überprüfung der Betriebssystemmechanismen und Abhilfemaßnahmen

Nach Abschluss der ersten Validierung der 12 Leads haben wir jeden einzelnen manuell überprüft. Mehrere Leads wurden aus den folgenden Gründen als nicht relevant eingestuft:

  1. Der Machbarkeitsnachweis berücksichtigte bestimmte Einschränkungen nicht.
  2. Die Wahrscheinlichkeit, dass die Sicherheitslücke ausgenutzt wurde, war sehr gering.
  3. Der Angriffsvektor erforderte ein unrealistisch hohes Maß an anfänglichem Zugriff (z. B. die Fähigkeit, Code über GitHub Actions-Skripte auszuführen).

Nach dieser Überprüfung blieben drei potenzielle Probleme bestehen. Eines davon — ein Befehlsinjektionsvektor unter macOS — wurde als nicht relevant ausgeschlossen, da die API, die zum Spawnen von Prozessen verwendet wurde, das Risiko minderte.

Dadurch blieben zwei gültige Vektoren für die weitere Analyse übrig.

Phase 4: Bestätigung der Nutzung

Zwei Proof-of-Concept-Exploits wurden entwickelt und getestet. Untersuchungen von Cyera bestätigten, dass Command Injection und Prompt Injection in Produktionsumgebungen ausnutzbar sind.

Gesamtdauer der Recherche: 2 Tage vom ersten Scan bis zur Bestätigung der Sicherheitslücken.

Einzelheiten zu Problemen

Problem 1: Befehlsinjektion zur Installation der VS-Code-Erweiterung (Problem 433939935)

Standort: /Pakete/cli/src/ui/commands/idecommand.ts:136

Die Sicherheitsanfälligkeit besteht im Installationshandler der VS Code-Erweiterung:

const command = `$ {VSCODE_COMMAND} --install-extension $ {vsixPath} --force`; execSync (Befehl);

Die Variable vSixPath, die aus den Ergebnissen von glob.sync () abgerufen wird, wird ohne Bereinigung direkt in einen Shell-Befehl interpoliert.

Angriffsvektor: Ein Angreifer mit Dateisystemzugriff kann eine bösartige VSIX-Datei mit Shell-Metazeichen im Dateinamen erstellen. Wenn der Benutzer /ide install ausführt, löst der bösartige Dateiname eine Befehlsinjektion aus.

Beispiel: Eine Datei mit dem Namen extension.vsix“; malicious_command; echo "würde bei der Verarbeitung malicious_command ausführen.

Auswirkungen auf die Plattform: Linux- und macOS-Systeme sind anfällig. Windows-Systeme sind zufällig aufgrund eines Glob-Bibliotheksfehlers geschützt, der die Erkennung von Dateien mit absoluten Pfaden verhindert.

Problem 2: Umgehung der Shell-Befehlsüberprüfung durch Prompt Injection (Problem 433939640)

Standort: /packages/core/src/tools/shell.ts:112

Die Shell-Befehlsvalidierungsfunktion implementiert eine unvollständige Befehlsersetzungsfilterung:

if (command.includes ('$ (')) {

return {erlaubt: falsch, Grund: 'Befehlsersetzung mit $ () ist nicht erlaubt'};}

Die Validierung blockiert die $ () -Syntax, blockiert jedoch nicht die Backtick (```) -Befehlsersetzung, wodurch ein äquivalenter Umgehungsmechanismus bereitgestellt wird.

Angriffsvektor:

Ein Angreifer, der in der Lage ist, die von der Gemini-CLI verarbeiteten Eingabeaufforderungen zu beeinflussen, kann Befehle mithilfe der Backtick-Substitution injizieren. Das KI-Modell kann Befehle ausführen, die Backticks enthalten, indem es Benutzeranweisungen oder böswillige Eingabeaufforderungen in analysierten Dateien befolgt.

Beispiel: Der Befehl echo „data\\ malicious_command“ umgeht die Validierung, während echo „data$ (malicious_command)“ korrekt blockiert ist.

Neuere Forschungen haben verschiedene Methoden der Prompt-Injektion in verschiedenen KI-Modellen hervorgehoben:

  • Perplexity Comet KI-Browser: Forscher von Brave identifizierten einen kritischen Fehler, bei dem Angreifer böswillige Aufforderungen in Screenshots oder versteckte Webinhalte einfügen können. Wenn Benutzer mit solchen Inhalten interagieren, verarbeitet die KI versehentlich diese versteckten Befehle, was möglicherweise zu unbefugten Aktionen wie Datenexfiltration führt. Neuigkeiten zur Cybersicherheit
  • LLMail-Inject-Herausforderung: Eine Studie mit dem Titel LLmail-injektion präsentiert einen Datensatz, der aus einer Herausforderung abgeleitet wurde, in der realistische Szenarien simuliert werden, in denen Angreifer böswillige Anweisungen in E-Mails einschleusen. Die Herausforderung bestand darin, dass die Teilnehmer versuchten, Large Language Models (LLMs) auszunutzen, um unbefugte Aktionen durch E-Mail-Interaktionen auszulösen. arXiv

Diese Studien belegen die vielfältigen Methoden, mit denen Prompt-Injection-Angriffe ausgeführt werden können, und unterstreichen die Notwendigkeit robuster Sicherheitsmaßnahmen in KI-Systemen, um solche Risiken zu mindern.

PoC-Clips

<aside>♻️

FÜGE HIER POC-CLIPS HINZU

</aside>

Technische Auswirkungen

Die identifizierten Sicherheitslücken ermöglichen die Ausführung von Befehlen mit denselben Rechten wie der Gemini-CLI-Prozess. Ausnutzung könnte zu Folgendem führen:

  • Zugriff auf Variablen und Anmeldeinformationen der Entwicklungsumgebung
  • Änderung von Quellcode und Konfigurationsdateien
  • Installation persistenter Backdoors
  • Exfiltration von Modellartefakten und Trainingsdaten

Solche Risiken haben reale Präzedenzfälle. Beispielsweise haben öffentlich zugängliche KI-Entwicklungsdaten oder falsch konfigurierter Cloud-Speicher in der Vergangenheit dazu geführt, dass vertrauliche Informationen preisgegeben wurden:

Diese Command-Injection-Schwachstellen sind in KI-Entwicklungsumgebungen aus folgenden Gründen besonders besorgniserregend:

  • Modelltrainingsdaten und proprietäre Algorithmen sind häufig zugänglich
  • API-Schlüssel und Cloud-Anmeldeinformationen werden häufig in Entwicklungsumgebungen gespeichert
  • CI/CD-Pipelines können durch injizierten oder modifizierten Code kompromittiert werden

Verbesserte Effizienz bei der Schwachstellenerkennung mit LLM-erweitertem Ansatz

Cyera nutzte eine Methode, die durch ein Large Language Model (LLM) erweitert wurde, und beobachtete erhebliche Verbesserungen in der Effizienz der Schwachstellenerkennung:

  • Erste Ergebnisse: Mit SEMGREP wurden 6.115 potenzielle Probleme identifiziert.
  • Reduzierung der Triage: Durch die LLM-Analyse wurde eine Reduzierung der falsch positiven Ergebnisse um 99,8% erzielt.
  • Zeit bis zur Entdeckung: Die Zeit vom ersten Scan bis zur Bestätigung der Sicherheitslücken wurde auf 48 Stunden reduziert.
  • Anforderungen an die manuelle Überprüfung: Beschränkt auf 12 Leads, die von einem Menschen validiert werden müssen, was 0,2% der ursprünglichen Ergebnisse entspricht.

Eine herkömmliche manuelle Überprüfung von 6.115 Ergebnissen würde ungefähr 300—500 Stunden in Anspruch nehmen, wenn man von 3—5 Minuten pro Befund ausgeht. Der LLM-gestützte Ansatz reduzierte dies auf 16 Stunden konzentrierter Validierungsarbeit.

KI-Tools in der Sicherheitsforschung

Die Integration von KI-Tools in die Sicherheitsforschung hat eine neue Ära der Automatisierung und Effizienz eingeleitet. So zielt beispielsweise die Einführung von KI-Agenten in die Security Copilot-Plattform durch Microsoft darauf ab, sich wiederholende Cybersicherheitsaufgaben zu automatisieren, wodurch der Burnout von Analysten verringert und die betriebliche Effizienz verbessert wird (https://www.axios.com/2025/03/24/microsoft-ai-agents-cybersecurity?utm_source=chatgpt.com).

In ähnlicher Weise wurde das KI-gestützte HexStrike-Tool verwendet, um Sicherheitslücken in Citrix-Systemen schnell ausfindig zu machen, was das Potenzial von KI bei der beschleunigten Ausnutzung von Sicherheitslücken demonstriert (https://www.techradar.com/pro/security/new-ai-powered-hexstrike-tool-is-being-used-to-target-multiple-citrix-security-vulnerabilities? utm_source=chatgpt.com).

Darüber hinaus untersuchen Forschungsarbeiten wie „PentestGPT: An LLM-Empowered Automatic Penetration Testing Tool“ die Anwendung von LLMs bei Penetrationstests und heben ihre Fähigkeit hervor, komplexe Sicherheitsbewertungen zu automatisieren (https://arxiv.org/abs/2308.06782?utm_source=chatgpt.com).

Weiterführende Literatur zur KI-gestützten Sicherheitsforschung

Für diejenigen, die sich eingehender mit der Rolle der KI in der Sicherheitsforschung befassen möchten, bieten die folgenden Ressourcen wertvolle Einblicke:

Schadensbegrenzung

Organisationen, die Gemini CLI verwenden, sollten sofort auf die neueste Version aktualisieren.
Google hat Patches veröffentlicht, die beide Sicherheitslücken beheben.

Zur eingehenden Verteidigung:

  • Beschränken Sie den Dateisystemzugriff auf die Gemini-CLI-Installationsverzeichnisse
  • Implementieren Sie Ausführungsrichtlinien, die die Shell-Befehlsfunktionen einschränken
  • Überwachen Sie auf verdächtige Befehlsausführungsmuster

Danksagungen

Cyera dankt dem Team des Vulnerability Rewards Program von Google für die schnelle Reaktion und den professionellen Umgang mit diesen Sicherheitsproblemen. Das VRP-Team hat die Behebung innerhalb der üblichen Offenlegungsfristen validiert, geprüft und koordiniert.

Fazit

Diese Studie zeigt die Wirksamkeit von LLM-erweiterten Sicherheitstests bei der Identifizierung komplexer Sicherheitslücken in der modernen KI-Infrastruktur. Die Kombination aus automatisiertem Scannen, intelligenter Triage und gezielter Validierung reduzierte den zweiwöchigen manuellen Aufwand auf zwei Tage und behielt gleichzeitig die hohe Genauigkeit bei.

Da KI-Tools zunehmend in Entwicklungsabläufe integriert werden, wird die Sicherung dieser Schnittstellen für den Schutz von geistigem Eigentum, Kundendaten und der Integrität der Infrastruktur von entscheidender Bedeutung. Die entdeckten Sicherheitslücken unterstreichen die Bedeutung einer umfassenden Eingabevalidierung und die Risiken, die mit der Erstellung von Shell-Befehlen aus benutzergesteuerten Eingaben verbunden sind.

Unternehmen, die KI-Befehlszeilentools entwickeln oder einsetzen, sollten eine strikte Eingabevalidierung implementieren, die Interpolation von Shell-Befehlen vermeiden und ihre Sicherheitsvorkehrungen regelmäßig mit automatisierten und manuellen Techniken überprüfen.

Download Report

Research Type

Research Blog

Share

Vom Prompt zum Exploit: Cyera Research Labs enthüllt Command & Prompt Injection-Schwachstellen in Gemini CLI

Vladimir Tokarev
November 17, 2025

Die wichtigsten Höhepunkte

  • Cyera Research Labs identifizierte zwei Sicherheitslücken — Command Injection und Prompt Injection — im Gemini-CLI-Tool von Google.
  • Beide Sicherheitslücken ermöglichten es Angreifern, beliebige Befehle mit denselben Rechten wie der CLI-Prozess auszuführen.
  • Google bestätigte die Ergebnisse und veröffentlichte im Rahmen seines Vulnerability Rewards Program (VRP) Korrekturen.
  • Die Entdeckung wurde mithilfe der KI-gestützten Schwachstellenforschungsmethode von Cyera gemacht und zeigt, wie große Sprachmodelle (LLMs) die Erkennung von Sicherheitslücken in der realen Welt beschleunigen können.

Was wir gefunden haben — und warum es wichtig ist

Cyera Research Labs deckte zwei ausnutzbare Sicherheitslücken in Googles Gemini-CLI auf, einer Befehlszeilenschnittstelle, die es Entwicklern ermöglicht, direkt mit der Gemini-Familie großer Sprachmodelle zu interagieren.

Diese Probleme, die als Issue 433939935 und Issue 433939640 getarnt wurden, ermöglichten es Angreifern, beliebige Befehle auszuführen — entweder durch Ausnutzen der Installationslogik der VS Code-Erweiterung oder durch Prompt-Injection-Techniken.

Wenn diese Sicherheitslücken ausgenutzt werden, könnten sie Angreifern Zugriff auf vertrauliche Entwicklungsumgebungen, Anmeldeinformationen und KI-Modelldaten verschaffen. Googles schnelle Reaktion und Behebung im Rahmen seines VRP spiegeln die Schwere dieser Probleme und die wachsende Bedeutung von Sicherung von KI-Entwicklungstools.

Über GEMINI CLI

Gemini CLI ist ein von Google entwickeltes Befehlszeilenschnittstellentool, mit dem Entwickler direkt vom Terminal aus mit der Gemini-Familie großer Sprachmodelle interagieren können. Es bietet Funktionen für Aufgaben wie das Generieren von Text, das Analysieren von Code und die Integration der Funktionen von Gemini in lokale Workflows oder Anwendungen. Das Tool wurde entwickelt, um das Experimentieren und Entwickeln mit Gemini-Modellen zu optimieren, ohne dass eine webbasierte Oberfläche erforderlich ist.

Warum KI-gestützte Tools zusätzlichen Schutz benötigen

KI-Entwicklungsumgebungen sind einzigartig exponiert, da sie häufig Benutzereingaben, Modellinferenzen und Aktionen auf Systemebene miteinander verbinden. Sicherheitslücken in solchen Tools können kaskadierende Auswirkungen haben und potenziell zu unbefugtem Zugriff auf geistiges Eigentum, falsch konfigurierte Bereitstellungen oder kompromittierte Trainingsdaten führen.

Die Ergebnisse von Cyera unterstreichen das Prompt Injection ist nicht nur ein Problem auf Modellebene - Es kann direkt zu Systemkompromittierungen führen, wenn Benutzeroberflächen in natürlicher Sprache mit Codeausführungsmechanismen interagieren.

Der KI-gestützte Ansatz hinter der Entdeckung

Das Forschungsteam von Cyera verwendete eine LLM-erweiterte Methodik um die Erkennung von Sicherheitslücken zu beschleunigen:

  • Automatisierte statische Analyse: Ein Semgrep-Scan identifizierte 6.115 potenzielle Probleme in der TypeScript-Codebasis von Gemini CLI.
  • LLM-gestützte Triage: Ein spezialisiertes Audit-Prompt analysierte jedes Ergebnis auf seine Verwertbarkeit und beschränkte die Ergebnisse auf 12 Ableitungen in Stunden statt Wochen.
  • Manuelle Validierung: Verwenden Cursor-IDE und Claude 4 Sonett, haben Forscher innerhalb von 48 Stunden zwei ausnutzbare Sicherheitslücken validiert und bestätigt.
  • Effizienzgewinne: Mit diesem Prozess wurde ein Reduzierung der Fehlalarme um 99,8% und reduzieren Sie die Analysezeit von geschätzten 300—500 Stunden auf nur 16.

Hintergrund

Die Sicherheitsforschung von Cyera konzentriert sich aufgrund ihrer strategischen Position in modernen Technologie-Stacks auf Sicherheitslücken in der KI-Infrastruktur. KI-Befehlszeilenschnittstellen stellen kritische Vertrauensgrenzen dar, an denen die Verarbeitung natürlicher Sprache auf die Systemausführung trifft. Sicherheitslücken in diesen Komponenten wirken sich direkt auf die Datensicherheit in Cloud-, KI- und lokalen Umgebungen aus.

Wenn KI-Tools wie Gemini CLI kompromittiert werden, reichen die technischen Auswirkungen über den unmittelbaren Prozess hinaus. Diese Tools greifen in der Regel auf Entwicklungsumgebungen, Konfigurationsdateien, Anmeldeinformationen und Modellartefakte zu. Eine erfolgreiche Ausnutzung verschafft Angreifern privilegierten Zugriff auf geistiges Eigentum, Bereitstellungskonfigurationen und potenzielle Kundendaten, die mithilfe von KI-Workflows verarbeitet werden.

Forschungsmethodik

Die Forschung verwendete einen systematischen Ansatz, der statische Analysen mit LLM-gestützter Schwachstellenvalidierung kombinierte:

Phase 1: Automatisierte statische Analyse

Beim SEMGREP-Scannen wurden 6.115 potenzielle Sicherheitsprobleme in der Gemini CLI TypeScript-Codebasis identifiziert. Die Scan-Konfiguration umfasste:

  • Generische Sicherheitsregeln für gängige Schwachstellenmuster
  • TypeScript-spezifische Sicherheitsüberprüfungen
  • Regeln zur Erkennung logischer Sicherheitslücken, die auf Kontrollflussprobleme abzielen

Phase 2: LLM-gestützte Triage

Eine spezielle Sicherheitsüberprüfungsaufforderung verarbeitete die SEMGREP-Ergebnisse, um die Ausnutzbarkeit festzustellen. Die Aufforderung analysierte jedes Ergebnis anhand bestimmter Kriterien:

  • Erreichbarkeit über Eingabevektoren (CLI-Argumente, API-Eingaben, Konfigurationsdateien, Plugins)
  • Vorhandensein und Wirksamkeit der Eingabedesinfektion
  • Tatsächliche Ausnutzbarkeit in Produktionskonfigurationen

Der Triage-Prozess reduzierte 6.115 Ergebnisse durch eine systematische Codeflussanalyse auf 12 relevante Leads.

Die Eingabeaufforderung, die verwendet wurde:

Sie sind ein professioneller Beauftragter für KI-Sicherheitsprüfungen. Sie analysieren eine große Codebasis, die sich im Ordner „gemini-cli“ befindet. Sie haben vollen Zugriff auf alle Quelldateien in diesem Ordner.

Sie erhalten eine Semgrep-Scan-Ausgabedatei: „gemini_semgrep_output.json“, die einige tausend Ergebnisse enthält. Ihre Aufgabe ist es, jedes Ergebnis zu prüfen und festzustellen, ob es zu einer echten, ausnutzbaren Sicherheitslücke führt.

Außerdem MÜSSEN Sie, nachdem Sie die Semgrep-Ausgabe durchgesehen haben, den tatsächlichen Codefluss im „gemini-cli“ -Quellbaum analysieren, wenn Sie Entscheidungen treffen.

---

ANALYSE NACH DEM FINDEN — GEHEN SIE WIE FOLGT VOR:

1. Erreichbarkeit prüfen

Ermitteln Sie, ob das Ergebnis von einem dieser Eingabevektoren aus erreichbar ist:

- CLI-Argumente (argv, argc, andere Umgebungsargumente)

- REST-API-Eingaben (falls zutreffend)

- Analysierte Modelldateien: GGUF-, Slot-Dateien, Tokenizer- oder Vokabeldateien

- Konfigurationsdateien (z. B. JSON, YAML, TOML)

- Remote-Schnittstellen (Ports, Dateien, RPCs, verschiedene Protokolle)

- Authentifizierungsprozesse

- Mechanismen zum Laden von Plugins/DLLs/Bins

Wenn das Problem über keine der oben genannten Optionen erreichbar ist, markieren Sie es als „unerreichbar“: true.

2. Überprüfen Sie die Desinfektion oder Validierung

Wenn das Problem erreichbar ist, analysieren Sie die vollständige Steuerung und den Datenfluss, um zu überprüfen, ob die Eingabe bereinigt oder validiert wurde, bevor sie die anfällige Senke erreicht.

- Suchen Sie nach Eingabevalidierungslogik, Grenzüberprüfungen, Schemavalidierung, Magic-Byte-Checks, Eingabelängenbeschränkungen usw.

- Stellen Sie fest, ob die Validierung fehlt, schwach oder umgehbar ist.

3. Überprüfe den Flow noch einmal auf Selbstvertrauen

Wenn Sie eine Sicherheitslücke vermuten:

- Den gesamten Durchfluss vom Eingang zur Senke nachlaufen lassen

- Vergewissern Sie sich, dass keine Validierungszweige verpasst wurden

- Stellen Sie sicher, dass Ihre Argumentation fundiert ist und im tatsächlichen Quellcode verwurzelt ist

---

VERWENDEN SIE DAS TERMINAL FÜR DIE INTELLIGENTE DATEIANALYSE (macOS/Linux)

Um große Dateien effizient zu lesen und zu analysieren, ohne zu viel Speicher zu verbrauchen, verwenden Sie native Shell-Tools, die Daten streamen, anstatt alles in den Speicher zu laden:

- Verwenden Sie `grep -R „pattern“ .` oder `grep -E „regex“ file.txt`, um relevante Funktionsaufrufen oder Datenmuster zu finden (entspricht PowerShells `Select-String`).

- Benutze `tail -n 50 file.txt` oder `head -n 100 file.txt` um Teilabschnitte einer Datei zu lesen.

- Kombinieren Sie Filter mit `awk`, `sed` und `grep`, um Daten zu extrahieren oder zu transformieren - zum Beispiel:

grep „function“ script.sh | awk '{print $2}'

- Benutze `awk` oder `sed` zum Inline-Parsen von Funktionskörpern oder Konfigurationsstrukturen:

awk '/start_pattern/, /end_pattern/' file.txt

- Benutze `wc -c file.txt` oder `du -h file.txt` um die Dateigrößen zu überprüfen.

- Vermeiden Sie die Verwendung von `cat file.txt` für sehr große Dateien, es sei denn, Sie streamen oder leiten die Ausgabe weiter.

Wenden Sie diese Techniken beim Codetraversal und beim Parsen von Dateien an, um beim Umgang mit großen Quell- oder Protokolldateien effektiver zu skalieren.

---

WENN DAS ERGEBNIS EINE GÜLTIGE SICHERHEITSLÜCKE IST:

Hängen Sie ein JSON-Objekt an eine Datei mit dem Namen security_report_ {current_date} .json mit diesem Format an:

{

„genauer_Standort“: {

„datei“: "<filename>„,

„Funktion“: "<function name if applicable>„,

„Zeile“: <line number>

},

<Short explanation of the vulnerability and relevant CWE (e.g., CWE-125: Out-of-Bounds Read) >„ Vulnerability_explanation“: „“,

<Why input validation is insufficient or missing>„validation_sanitization“: "„,

„input_exploit_example“: {

„vector“: „<'argv' | 'Rest API' | 'Konfigurationsdatei' | 'Modelldatei' | 'Slot-Datei'>“,

<Concrete example of input that would trigger the vulnerability>„beispiel_eingabe“: "“

}

}

---

WENN DER BEFUND KEINE ECHTE SICHERHEITSLÜCKE DARSTELLT:

Hängen Sie ein JSON-Objekt im folgenden Format an eine Datei mit dem Namen unrelevant_leads_ {current_date} .json an:

{

„Problembeschreibung“: {

„title“: "<Semgrep rule title>„,

„Erklärung“: "<Semgrep rule explanation or message>“

},

„unerreichbar“: <wahr|falsch>,

„sanitized_checked“: <wahr|falsch>,

„keine_Schwachstelle“: <wahr|falsch>

}

---

ANLEITUNG ZUR ANALYSE:

- Sie haben vollen Zugriff auf den gesamten Ordner „gemini-cli/“ - verwenden Sie diesen, um Funktionsimplementierungen, Typdefinitionen, Hilfsprogramme und benutzerdefinierte Parser zu lesen.

- Denken Sie wie ein menschlicher Schwachstellenforscher: Verfolgen Sie Eingaben, analysieren Sie Anrufketten, suchen Sie nach Bedingungen und ermitteln Sie die Umgehbarkeit.

- Verwenden Sie PowerShell-Befehle und Shell-basierte Filterung, um effizient im Code zu navigieren.

- Verlassen Sie sich nicht ausschließlich auf Semgrep-Nachrichten. Treffen Sie Entscheidungen auf der Grundlage des tatsächlichen Codeflusses.

---

ZEITPUNKT:

Diese Aufgabe umfasst 6115 Befunde und kann ein oder zwei ganze Tage in Anspruch nehmen. Genauigkeit und Tiefe der Analyse sind wichtiger als Geschwindigkeit. Beeile dich nicht.

Beginne mit der Überprüfung der Ergebnisse in: gemini_semgrep_output.json

Phase 3: Manuelle Validierung

Zusammenfassung der Cursor-IDE-Sicherheitsüberprüfung

Mithilfe der Cursor-IDE mit Unterstützung von Claude-4-Sonnet haben wir die 12 identifizierten Leads anhand der folgenden Schritte validiert:

  • Überprüfung des Kontrollflusses (vom Eingang bis zur Senke)
  • Analyse der Bypass-Technik
  • Grundlegende Proof-of-Concept-Entwicklung (PoC)
  • Überprüfung der Betriebssystemmechanismen und Abhilfemaßnahmen

Nach Abschluss der ersten Validierung der 12 Leads haben wir jeden einzelnen manuell überprüft. Mehrere Leads wurden aus den folgenden Gründen als nicht relevant eingestuft:

  1. Der Machbarkeitsnachweis berücksichtigte bestimmte Einschränkungen nicht.
  2. Die Wahrscheinlichkeit, dass die Sicherheitslücke ausgenutzt wurde, war sehr gering.
  3. Der Angriffsvektor erforderte ein unrealistisch hohes Maß an anfänglichem Zugriff (z. B. die Fähigkeit, Code über GitHub Actions-Skripte auszuführen).

Nach dieser Überprüfung blieben drei potenzielle Probleme bestehen. Eines davon — ein Befehlsinjektionsvektor unter macOS — wurde als nicht relevant ausgeschlossen, da die API, die zum Spawnen von Prozessen verwendet wurde, das Risiko minderte.

Dadurch blieben zwei gültige Vektoren für die weitere Analyse übrig.

Phase 4: Bestätigung der Nutzung

Zwei Proof-of-Concept-Exploits wurden entwickelt und getestet. Untersuchungen von Cyera bestätigten, dass Command Injection und Prompt Injection in Produktionsumgebungen ausnutzbar sind.

Gesamtdauer der Recherche: 2 Tage vom ersten Scan bis zur Bestätigung der Sicherheitslücken.

Einzelheiten zu Problemen

Problem 1: Befehlsinjektion zur Installation der VS-Code-Erweiterung (Problem 433939935)

Standort: /Pakete/cli/src/ui/commands/idecommand.ts:136

Die Sicherheitsanfälligkeit besteht im Installationshandler der VS Code-Erweiterung:

const command = `$ {VSCODE_COMMAND} --install-extension $ {vsixPath} --force`; execSync (Befehl);

Die Variable vSixPath, die aus den Ergebnissen von glob.sync () abgerufen wird, wird ohne Bereinigung direkt in einen Shell-Befehl interpoliert.

Angriffsvektor: Ein Angreifer mit Dateisystemzugriff kann eine bösartige VSIX-Datei mit Shell-Metazeichen im Dateinamen erstellen. Wenn der Benutzer /ide install ausführt, löst der bösartige Dateiname eine Befehlsinjektion aus.

Beispiel: Eine Datei mit dem Namen extension.vsix“; malicious_command; echo "würde bei der Verarbeitung malicious_command ausführen.

Auswirkungen auf die Plattform: Linux- und macOS-Systeme sind anfällig. Windows-Systeme sind zufällig aufgrund eines Glob-Bibliotheksfehlers geschützt, der die Erkennung von Dateien mit absoluten Pfaden verhindert.

Problem 2: Umgehung der Shell-Befehlsüberprüfung durch Prompt Injection (Problem 433939640)

Standort: /packages/core/src/tools/shell.ts:112

Die Shell-Befehlsvalidierungsfunktion implementiert eine unvollständige Befehlsersetzungsfilterung:

if (command.includes ('$ (')) {

return {erlaubt: falsch, Grund: 'Befehlsersetzung mit $ () ist nicht erlaubt'};}

Die Validierung blockiert die $ () -Syntax, blockiert jedoch nicht die Backtick (```) -Befehlsersetzung, wodurch ein äquivalenter Umgehungsmechanismus bereitgestellt wird.

Angriffsvektor:

Ein Angreifer, der in der Lage ist, die von der Gemini-CLI verarbeiteten Eingabeaufforderungen zu beeinflussen, kann Befehle mithilfe der Backtick-Substitution injizieren. Das KI-Modell kann Befehle ausführen, die Backticks enthalten, indem es Benutzeranweisungen oder böswillige Eingabeaufforderungen in analysierten Dateien befolgt.

Beispiel: Der Befehl echo „data\\ malicious_command“ umgeht die Validierung, während echo „data$ (malicious_command)“ korrekt blockiert ist.

Neuere Forschungen haben verschiedene Methoden der Prompt-Injektion in verschiedenen KI-Modellen hervorgehoben:

  • Perplexity Comet KI-Browser: Forscher von Brave identifizierten einen kritischen Fehler, bei dem Angreifer böswillige Aufforderungen in Screenshots oder versteckte Webinhalte einfügen können. Wenn Benutzer mit solchen Inhalten interagieren, verarbeitet die KI versehentlich diese versteckten Befehle, was möglicherweise zu unbefugten Aktionen wie Datenexfiltration führt. Neuigkeiten zur Cybersicherheit
  • LLMail-Inject-Herausforderung: Eine Studie mit dem Titel LLmail-injektion präsentiert einen Datensatz, der aus einer Herausforderung abgeleitet wurde, in der realistische Szenarien simuliert werden, in denen Angreifer böswillige Anweisungen in E-Mails einschleusen. Die Herausforderung bestand darin, dass die Teilnehmer versuchten, Large Language Models (LLMs) auszunutzen, um unbefugte Aktionen durch E-Mail-Interaktionen auszulösen. arXiv

Diese Studien belegen die vielfältigen Methoden, mit denen Prompt-Injection-Angriffe ausgeführt werden können, und unterstreichen die Notwendigkeit robuster Sicherheitsmaßnahmen in KI-Systemen, um solche Risiken zu mindern.

PoC-Clips

<aside>♻️

FÜGE HIER POC-CLIPS HINZU

</aside>

Technische Auswirkungen

Die identifizierten Sicherheitslücken ermöglichen die Ausführung von Befehlen mit denselben Rechten wie der Gemini-CLI-Prozess. Ausnutzung könnte zu Folgendem führen:

  • Zugriff auf Variablen und Anmeldeinformationen der Entwicklungsumgebung
  • Änderung von Quellcode und Konfigurationsdateien
  • Installation persistenter Backdoors
  • Exfiltration von Modellartefakten und Trainingsdaten

Solche Risiken haben reale Präzedenzfälle. Beispielsweise haben öffentlich zugängliche KI-Entwicklungsdaten oder falsch konfigurierter Cloud-Speicher in der Vergangenheit dazu geführt, dass vertrauliche Informationen preisgegeben wurden:

Diese Command-Injection-Schwachstellen sind in KI-Entwicklungsumgebungen aus folgenden Gründen besonders besorgniserregend:

  • Modelltrainingsdaten und proprietäre Algorithmen sind häufig zugänglich
  • API-Schlüssel und Cloud-Anmeldeinformationen werden häufig in Entwicklungsumgebungen gespeichert
  • CI/CD-Pipelines können durch injizierten oder modifizierten Code kompromittiert werden

Verbesserte Effizienz bei der Schwachstellenerkennung mit LLM-erweitertem Ansatz

Cyera nutzte eine Methode, die durch ein Large Language Model (LLM) erweitert wurde, und beobachtete erhebliche Verbesserungen in der Effizienz der Schwachstellenerkennung:

  • Erste Ergebnisse: Mit SEMGREP wurden 6.115 potenzielle Probleme identifiziert.
  • Reduzierung der Triage: Durch die LLM-Analyse wurde eine Reduzierung der falsch positiven Ergebnisse um 99,8% erzielt.
  • Zeit bis zur Entdeckung: Die Zeit vom ersten Scan bis zur Bestätigung der Sicherheitslücken wurde auf 48 Stunden reduziert.
  • Anforderungen an die manuelle Überprüfung: Beschränkt auf 12 Leads, die von einem Menschen validiert werden müssen, was 0,2% der ursprünglichen Ergebnisse entspricht.

Eine herkömmliche manuelle Überprüfung von 6.115 Ergebnissen würde ungefähr 300—500 Stunden in Anspruch nehmen, wenn man von 3—5 Minuten pro Befund ausgeht. Der LLM-gestützte Ansatz reduzierte dies auf 16 Stunden konzentrierter Validierungsarbeit.

KI-Tools in der Sicherheitsforschung

Die Integration von KI-Tools in die Sicherheitsforschung hat eine neue Ära der Automatisierung und Effizienz eingeleitet. So zielt beispielsweise die Einführung von KI-Agenten in die Security Copilot-Plattform durch Microsoft darauf ab, sich wiederholende Cybersicherheitsaufgaben zu automatisieren, wodurch der Burnout von Analysten verringert und die betriebliche Effizienz verbessert wird (https://www.axios.com/2025/03/24/microsoft-ai-agents-cybersecurity?utm_source=chatgpt.com).

In ähnlicher Weise wurde das KI-gestützte HexStrike-Tool verwendet, um Sicherheitslücken in Citrix-Systemen schnell ausfindig zu machen, was das Potenzial von KI bei der beschleunigten Ausnutzung von Sicherheitslücken demonstriert (https://www.techradar.com/pro/security/new-ai-powered-hexstrike-tool-is-being-used-to-target-multiple-citrix-security-vulnerabilities? utm_source=chatgpt.com).

Darüber hinaus untersuchen Forschungsarbeiten wie „PentestGPT: An LLM-Empowered Automatic Penetration Testing Tool“ die Anwendung von LLMs bei Penetrationstests und heben ihre Fähigkeit hervor, komplexe Sicherheitsbewertungen zu automatisieren (https://arxiv.org/abs/2308.06782?utm_source=chatgpt.com).

Weiterführende Literatur zur KI-gestützten Sicherheitsforschung

Für diejenigen, die sich eingehender mit der Rolle der KI in der Sicherheitsforschung befassen möchten, bieten die folgenden Ressourcen wertvolle Einblicke:

Schadensbegrenzung

Organisationen, die Gemini CLI verwenden, sollten sofort auf die neueste Version aktualisieren.
Google hat Patches veröffentlicht, die beide Sicherheitslücken beheben.

Zur eingehenden Verteidigung:

  • Beschränken Sie den Dateisystemzugriff auf die Gemini-CLI-Installationsverzeichnisse
  • Implementieren Sie Ausführungsrichtlinien, die die Shell-Befehlsfunktionen einschränken
  • Überwachen Sie auf verdächtige Befehlsausführungsmuster

Danksagungen

Cyera dankt dem Team des Vulnerability Rewards Program von Google für die schnelle Reaktion und den professionellen Umgang mit diesen Sicherheitsproblemen. Das VRP-Team hat die Behebung innerhalb der üblichen Offenlegungsfristen validiert, geprüft und koordiniert.

Fazit

Diese Studie zeigt die Wirksamkeit von LLM-erweiterten Sicherheitstests bei der Identifizierung komplexer Sicherheitslücken in der modernen KI-Infrastruktur. Die Kombination aus automatisiertem Scannen, intelligenter Triage und gezielter Validierung reduzierte den zweiwöchigen manuellen Aufwand auf zwei Tage und behielt gleichzeitig die hohe Genauigkeit bei.

Da KI-Tools zunehmend in Entwicklungsabläufe integriert werden, wird die Sicherung dieser Schnittstellen für den Schutz von geistigem Eigentum, Kundendaten und der Integrität der Infrastruktur von entscheidender Bedeutung. Die entdeckten Sicherheitslücken unterstreichen die Bedeutung einer umfassenden Eingabevalidierung und die Risiken, die mit der Erstellung von Shell-Befehlen aus benutzergesteuerten Eingaben verbunden sind.

Unternehmen, die KI-Befehlszeilentools entwickeln oder einsetzen, sollten eine strikte Eingabevalidierung implementieren, die Interpolation von Shell-Befehlen vermeiden und ihre Sicherheitsvorkehrungen regelmäßig mit automatisierten und manuellen Techniken überprüfen.

Download Report

Research Type

Research Blog

Share

Related Resources

Research Blog

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Why DSPM Has Moved From Buzzword to Board‑Level Mandate - and How Our New Guide Can Help

Research Blog

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Assessing the Top Data Security Risks in AWS Environments

Research Blog

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

The One Account That Breaks Everything: How Identity Outliers Create Explosive Risk

Experience Cyera

To protect your dataverse, you first need to discover what’s in it. Let us help.

Get a demo  →
Decorative

Lernen Sie die Grundlagen
des DSPM

E-Book „DSPM für Dummies“ herunterladen
Cyera DSPM für Dummies — Buch

CYERA BUS INC

1375 Broadway, 11. Stock
New York, NY 10018


CYERA TV-BÜRO

Wahrzeichen-Turm
Arania Osvaldo Straße 24
Tel Aviv-Yafo, Israel

Demo anfordern
Plattform
PlattformübersichtNeueste Innovationen

Module

DSPMKI-WächterVerhinderung von DatenverlustIdentitätszugriffIdentitätAnfragen der betroffenen PersonDatenschutz

Leistungen

Bewertung des DatenrisikosDatenbeobachterAI Security Readiness Assessment
Lösungen

Anwendungsfälle

Übersicht der AnwendungsfälleCompliance-BereitschaftM&A und VeräußerungenSicherer Einsatz von KIBeurteilung des DatenrisikosM365-AngriffeVor-Ort-SupportDatentransparenzDatenvermeidung und -sparsamkeitDatenwildwuchsÖffentliche BekanntheitSanierungDemokratisieren Sie die Datensicherheit

Branche

FinanzenTechnologieFertigungEinzelhandel und ReisenGesundheit
Warum Cyera
Warum Cyera wählen
Unternehmen
Über unsKarrierePartnerschaften und IntegrationenCSO-TeamNeuigkeitenVertrauenszentrumKontakt
Ressourcen
RessourcenzentrumBlogEreignisseWebinareOffenlegung von SicherheitslückenDSPM-AnleitungenForschungslaboreBewertung der KI-DatensicherheitDataSecai-PortalDataWatcher Avatar
Karriere bei Cyera Wir stellen ein
Wir stellen ein
Mehr erfahren

Copyright © 2025 Cyera. Alle Rechte vorbehalten.

DatenschutzerklärungCookie-Richtlinie
Decorative