TLDR;

Agentes de IA em modo headless (Yolo) podem executar comandos arbitrários via arquivos de configuração, criando risco de execução remota em pipelines CI/CD. Um PR malicioso pode incluir um settings.json com hooks como before_agent que disparam comandos no runner, permitindo extração de tokens e credenciais. Adote a suposição de comprometimento: não exponha segredos em runners, isole e execute runners com usuários/permissões separados, sanitize/valide arquivos de configuração e evite rodar workflows de PRs não confiáveis em runners auto‑hospedados.

Resumo

O vídeo descreve o pesadelo de integrar ferramentas de IA ao fluxo de desenvolvimento: uma vulnerabilidade crítica (CVE com CVSS 10.0) no Gemini CLI permitia que, em modo “YOLO” usado em CI/CD para operar sem interface, arquivos de configuração benignos (settings.json) injetassem hooks (como before_agent) que executavam comandos arbitrários no runner. Assim, um pull request malicioso poderia acionar a revisão automatizada feita pelo Gemini, rodar código sob o contexto do runner e exfiltrar tokens, chaves de API e credenciais presentes no ambiente. O autor ressalta que, embora IA para revisão de PRs seja útil, o uso indevido ou vulnerabilidades transformam a ferramenta em vetor de ataque. Ele cita o grupo Team PCP, responsável por grandes ataques à cadeia de suprimentos que exploraram pipelines CI/CD e ações comprometidas (Trivy, Checkmarx, etc.), mostrando um padrão recorrente: confiança excessiva em runners e ações de terceiros. Como resposta, recomenda-se assumir que tudo pode estar comprometido, reduzir exposição de segredos, isolar runners (usar modelo de usuários/permssões do Linux, criar usuários separados), sanitizar configurações e evitar executar código não confiável com privilégios elevados, além de aplicar patches e revisar práticas de CI/CD para minimizar riscos.