gemini-mcp-tool 重大漏洞:任意 OS 指令注入與本機檔案外洩
GitHub Security Advisory · 2026-06-18
npm 套件 gemini-mcp-tool 被揭露存在兩項嚴重安全漏洞:OS 指令注入(OS Command Injection)與本機任意檔案外洩(@file exfiltration),統一編號為 GHSA-4h5r-5jm8-jxjm、CVE-2026-0755。CVSS 評分高達 9.8(Critical),受影響版本範圍為 >= 1.1.2 且 < 1.1.6,修補版本 1.1.6 已於近日釋出。
漏洞機制
核心問題在於套件未正確過濾傳入 Gemini CLI 的 @file 語法參考,導致攻擊者可透過惡意 prompt 輸入,指定任意本機路徑(如 @/etc/passwd 或 @~/.ssh/id_rsa)來讀取並外洩敏感檔案。此漏洞對應 CWE-78(OS 指令特殊元素中和不當)。在 Windows 環境下,cmd.exe 中未被正確引號包覆的命令元字元(metacharacter)更可進一步被利用為 OS 指令注入,執行任意系統命令。
攻擊向量屬於低複雜度、免認證的遠端可利用類型,意即任何能向 MCP 工具傳遞 prompt 的使用者或整合方,均可能觸發此漏洞。由於 MCP(Model Context Protocol)工具常作為 AI agent 的工具呼叫後端,此漏洞在自動化 AI 工作流程中的曝險面尤其廣泛。
受影響版本
gemini-mcp-tool >= 1.1.2,< 1.1.6(npm 套件)
修補與緩解
官方已在版本 1.1.6 中完成三項關鍵修補:移除有缺陷的 shell 引號包覆邏輯、新增 assertSafeFileReferences() 函式以將 @file 引用限制在工作目錄範圍內,並強化 Windows 平台的命令參數引號機制。
- 立即升級至
gemini-mcp-tool@1.1.6或更新版本 - 若無法立即升級,應避免在不受信任的環境中暴露 MCP 工具端點
- 審查現有工作流程中是否存在未經驗證的 prompt 輸入路徑
2026 年 6 月第三週安全更新:OpenSSL 五項記憶體漏洞、Firefox-ESR 29 個 CVE 一次修補
LWN.net · 2026-06-18
本週 Linux 各發行版密集釋出安全修補,涵蓋 OpenSSL 1.1.1 系列的五項記憶體安全缺陷,以及 Firefox ESR 140 的 29 項漏洞,影響 Debian、Slackware、Oracle Linux 等主流平台。修補均已於 2026 年 6 月 17–18 日發布,涵蓋堆積緩衝區溢位、use-after-free 及沙箱逃脫等高危類型。
漏洞機制
OpenSSL 本次更新(Slackware SSA:2026-168-05)涵蓋五項不同類型的記憶體安全問題:ASN.1 內容解析中的堆積緩衝區越界讀取(CVE-2026-34180)、基於密碼的 CMS 解密中可能的 NULL 指標解參考(CVE-2026-42766)、PKCS7_verify() 函式中的 heap use-after-free(CVE-2026-45447)、ASN.1 多位元組字串轉換中可能的堆積緩衝區溢位(CVE-2026-7383),以及 CMS 密碼解密中的越界讀取(CVE-2026-9076)。這些修補均從 OpenSSL 3.0 系列反向移植至 1.1.1 分支,且原本僅提供給 OpenSSL 付費延伸支援訂閱用戶。
Firefox-ESR 方面,Debian 發布的 DSA-6350-1 一次性修補 29 個 CVE,從 CVE-2026-12289 到 CVE-2026-12330,涵蓋任意程式碼執行、同源政策繞過(same-origin policy bypass)、權限提升、資訊洩漏、偽造攻擊及沙箱逃脫等多種攻擊面。如此集中的漏洞數量,顯示本次為一次大型的安全里程碑版本。
受影響版本
- OpenSSL
1.1.1系列(低於1.1.1zh),Slackware 15.0 及 -current - OpenSSL
3.x(Oracle OL8,低於修補版本,詳見 ELSA 公告) - Firefox ESR(Debian Trixie,低於
140.12.0esr-1~deb13u1) - Firefox ESR(Oracle OL7,低於對應修補版本)
修補與緩解
各發行版已釋出對應修補套件,建議管理員立即透過系統套件管理工具執行更新。更新後應重新啟動所有使用 OpenSSL 的常駐服務(如 HTTPS 伺服器、VPN 等)以確保修補生效。
- Slackware 15.0:升級至
openssl-1.1.1zh - Slackware -current:升級至
openssl-3.5.7 - Debian Trixie:升級 Firefox ESR 至
140.12.0esr-1~deb13u1 - Oracle Linux:套用對應 ELSA 公告中的核心與 OpenSSL 更新
原始來源:LWN Security Updates 2026-06-18、Slackware OpenSSL Advisory SSA:2026-168-05、Debian Firefox-ESR DSA-6350-1
Cloudflare 揭示 AI 驅動漏洞挖掘架構:八階段自動化管線橫掃 128 個程式庫
Cloudflare Blog · 2026-06-18
Cloudflare 公開了一套名為漏洞發現框架(Vulnerability Discovery Harness,VDH)的內部 AI 自動化安全掃描系統,搭配獨立的漏洞驗證系統(Vulnerability Validation System,VVS),對公司旗下 128 個程式庫進行持續性漏洞探勘。系統終生已產生 20,799 筆原始候選漏洞,其中 7,245 筆已轉交工程團隊處理,本篇部落格文章完整揭示了可複用的 AI 安全測試方法論。
漏洞機制
VDH 採用多 LLM 協作架構,將各語言模型視為「可互換的無狀態運算元件」,並將所有執行狀態外部化至 SQLite,確保管線可隨時中斷後恢復。整個探勘流程分為八個專責 agent 階段:Recon(架構偵察)、Hunt(攻擊嘗試,含沙箱中實際執行)、Validate(機制驗證)、Gapfill(覆蓋率補強)、Trace(跨程式庫相依性追蹤)、Dedup(根本原因聚類去重)、Feedback(失敗學習回饋)、Report(人可讀報告產出)。
Hunt 階段是最關鍵的創新點:agent 不僅進行靜態程式碼審查,還會在沙箱中編譯並執行目標程式,嘗試實際觸發漏洞。每一個已確認的發現都必須附帶可執行的概念驗證(PoC)測試、建議修補程式,以及對原始未修改原始碼的執行驗證,以確保發現的真實性。系統也支援「micro-forking」機制,允許 hunter agent 在發現超出原本範疇的漏洞時,自動衍生子 agent 進行追蹤,此行為在不同模型下佔總任務量的 9–20%。
VVS 則扮演對抗性過濾閘的角色,透過查詢部署情境、Wiki、Jira 工單及 git 歷史記錄(透過 MCP server 存取),評估每項發現在生產環境中的實際可達性(production reachability)。初期驗證拒絕率為 40%,在透過更佳的上下文注入策略優化後已降至 11%。
受影響版本
本文為方法論分享,不涉及特定軟體版本的漏洞揭露;Cloudflare 並未在文中公開任何已修補漏洞的 CVE 編號或受影響產品版本。文中數據來自系統終生累積運行結果:共掃描 145 個程式庫,12,057 筆通過獨立驗證(整體高完整性比率 58%),5,442 筆被判定為重複項目。
修補與緩解
Cloudflare 描述的部署流程提供了業界可參考的修補節奏:嚴重漏洞在 5 天內完成生產部署,其餘修補則於 15–20 天內分批上線。所有 AI 產出的修補程式在正式上線前均須通過人工審查,系統對每個單一複雜程式庫的掃描耗時為 3–14 小時。
- 將 LLM 狀態完全外部化,避免依賴單一模型,提升管線韌性
- 確保 hunter agent 必須提供可執行 PoC 才能記錄漏洞,以降低誤報率
- 以 Trace 機制擴展跨程式庫相依性分析,防止供應鏈盲點
- 保留人工審查作為所有 AI 生成修補的最終閘控