Google heeft een ernstige beveiligingsfout met een maximale CVSS-score van 10,0 opgelost in Gemini CLI, een npm-pakket en GitHub Actions workflow. Deze kwetsbaarheid maakte het mogelijk voor aanvallers om willekeurige commando's uit te voeren op systemen waar Gemini CLI draait. Volgens Novee Security kon een onbevoegde externe aanvaller malafide configuraties injecteren die direct commando-uitvoering op het host-systeem veroorzaakten, nog voordat de sandbox van de agent werd gestart.

De kwetsbaarheid, die geen CVE-nummer heeft, treft versies van @google/gemini-cli lager dan 0.39.1 en 0.40.0-preview.3, evenals google-github-actions/run-gemini-cli lager dan 0.1.22. In een advies van Google wordt aangegeven dat het risico beperkt is tot workflows die Gemini CLI in headless modus gebruiken zonder expliciete folder trust. Voorheen vertrouwde Gemini CLI automatisch de werkmap in CI-omgevingen, wat gevaarlijk is bij onbetrouwbare mappen, bijvoorbeeld bij pull requests van externe bijdragers. Dit kon leiden tot remote code execution via kwaadaardige omgevingsvariabelen in de lokale .gemini-directory.

De update vereist nu dat mappen expliciet worden vertrouwd voordat configuratiebestanden worden geladen. Gebruikers worden geadviseerd hun workflows te controleren en de variabele GEMINI_TRUST_WORKSPACE op 'true' te zetten bij vertrouwde inputs. Bij onbetrouwbare inputs moet de workflow worden aangepast volgens de richtlijnen in de run-gemini-cli repository om misbruik te voorkomen. Daarnaast heeft Google de tool allowlisting aangescherpt voor de --yolo modus, die in eerdere versies automatisch alle commando’s uitvoerde zonder bevestiging, wat misbruik mogelijk maakte.

Naast Gemini CLI meldde Novee Security ook een ernstige kwetsbaarheid in de AI-ontwikkeltool Cursor (CVE-2026-26268, CVSS 8.1). Deze fout maakte het mogelijk om via prompt injection sandbox-beperkingen te omzeilen en code uit te voeren. Cursor beschreef dit in een veiligheidsmelding van februari 2026 als een sandbox escape via .git-configuraties, waarbij een kwaadaardige agent een bare repository kon opzetten om code uit te voeren.