Gemini MCP 工具零日漏洞允许远程攻击者执行任意代码

Gemini MCP 工具中存在一个严重的零日漏洞，该漏洞使用户在没有任何身份验证的情况下容易受到远程代码执行 ( RCE ) 攻击。

该漏洞被追踪为 ZDI‑26‑021 / ZDI‑CAN‑27783，并被分配了 CVE‑2026‑0755，其 CVSS v3.1 最高得分为 9.8，这反映了该漏洞易于利用且影响严重。

根据趋势科技零日漏洞计划 (ZDI) 的一份新公告，该问题会影响开源的 gemini-mcp-tool，这是一个旨在将 Gemini 模型与模型上下文协议 ( MCP ) 服务集成的实用程序。

漏洞概述
该安全公告中将供应商和产品均列为 Gemini MCP Tool / gemini-mcp-tool。漏洞的核心在于 execAsync 方法中对用户输入的处理不当。

该函数直接将输入传递给系统调用，而没有进行充分的验证或清理。

远程攻击者可以利用此命令注入漏洞，以服务帐户的权限在底层系统上执行任意代码。



由于攻击途径是基于网络的，并且不需要事先进行身份验证或用户交互，因此暴露于互联网或共享的环境面临特别高的风险。

该漏洞最初于 2025 年 7 月 25 日通过第三方平台报告给了供应商。

ZDI 在 2025 年 11 月跟进询问最新进展，但在未收到充分回复后，于 2025 年 12 月 14 日通知供应商，其打算将此案例作为零日漏洞公告发布。

协调一致的公开披露和咨询更新于 2026 年 1 月 9 日进行。

截至发稿时，尚未发布任何官方补丁或更新。因此，可采取的缓解措施有限。

ZDI建议严格限制对 Gemini MCP 工具的访问，确保其不直接暴露于互联网，并将交互限制在受信任的网络和用户之间。

管理员还应监控运行 gemini-mcp-tool 的系统，以发现可疑的进程执行和异常的出站连接，这些都可能表明攻击已成功。