💡 核心結論速覽 (TL;DR)
- Gemini CLI 現況:2026 年 6 月 18 日起,個人版(免費 / Google AI Pro / Ultra)已停止服務,個人要嘛換 Antigravity CLI、要嘛改用付費 Gemini API key——「免費無腦裝」的時代結束了。
- Claude Code:一行
npm install -g @anthropic-ai/claude-code就能裝,需付費 Anthropic 帳號(Pro US$20/月起);預設每個工具呼叫都會問你一次,別急著開--dangerously-skip-permissions。- 真正的風險不是工具本身:是假安裝包+npm 投毒。2026 年 3 月的 gemini-ai-checker、5 月的 mouse5212-super-formatter,都專偷 Cursor/Claude/Gemini CLI 目錄裡的 API key 與對話紀錄。
- 先做這 4 件事:只從官方 repo 裝、MCP 權限走白名單、API key 進密鑰管理器不落地明文、定期輪換 token——比你糾結「選哪個工具」重要一百倍。
老實說,我一開始也把 Gemini CLI、Claude Code 這類終端機裡的 AI 開發工具當成「裝了就爽」的東西——直到我看到今年連續幾起 npm 投毒事件,專門盯著這些工具的資料夾偷 token,才驚覺自己每天掛在終端機裡跑 agent,等於把家門鑰匙、保險箱密碼全放在同一個抽屜裡。
我每天用 AI 超過 10 小時,同時養著 ChatGPT、Claude 的高階方案,也把 CLI 工具接進日常工作流。這篇不是要教你怎麼裝(官方文件三行就講完),而是把「我想用它,但怎麼不把 repo、token、MCP 權限整包交出去」這件事講清楚。尤其 Gemini CLI 在 6 月 18 日剛出了大變動,很多舊教學已經過期了。
你可能在想:不就一個命令列工具,有那麼嚴重嗎?答案是——有。往下看你就懂為什麼我把「避雷」擺在「教學」前面。
Gemini CLI 是什麼?6 月 18 日之後還能用嗎?
先給結論:Gemini CLI 還在,但「個人免費版」在 2026 年 6 月 18 日被收掉了。它本來是 Google 官方開源、把 Gemini 塞進終端機的 AI agent,可以讀你的專案、跑指令、改檔案,跟 Claude Code、Codex 是同一類東西。
問題出在授權方式。以前你用個人 Google 帳號登入,就能吃到免費額度(大約每分鐘 60 次、每天 1,000 次請求),完全不用綁信用卡。但根據 Google 官方文件與開發者部落格的轉移公告,從 6 月 18 日起,Gemini CLI 與 Gemini Code Assist 的 IDE 擴充,停止服務「個人版、Google AI Pro、Google AI Ultra」這三種身份。
那現在誰還能用?我幫你拆成三種情況:
| 你的身份 | 6/18 之後能不能用 Gemini CLI |
|---|---|
| 個人(免費 / AI Pro / Ultra) | ❌ 停止服務,改用 Antigravity CLI,或改綁付費 Gemini API key |
| 付費 Gemini API key 使用者 | ✅ 照常可用,按 token 計價、無每日上限 |
| 企業 Code Assist Standard / Enterprise 授權 | ✅ 不受影響 |
所以如果你手邊還躺著半年前的「Gemini CLI 免費安裝教學」,那套「登入 Google 就有額度」的流程現在多半跑不動了。這也是我想寫這篇的原因之一——這題正在變動,舊資訊會害你白忙一場。想看兩岸開發者實際拿這些 agent 從零做出一個能上線的網站,可以參考我之前那篇用 Codex、Claude、Gemini Antigravity 實測建站的過程,會更有畫面。
下一步:先確認你是哪一種身份,再決定要不要繼續往下裝——別裝到一半才發現額度早就沒了。
費用與免費額度怎麼算?Antigravity CLI 與 Claude Code 一次比
直接講重點:現在想「零成本」用終端機 AI agent,個人最乾淨的路是 Google 的 Antigravity CLI;要用 Gemini CLI 本體,就得掛付費 API key。Claude Code 則是一律要付費帳號,沒有免費牌可打。
Antigravity CLI 是 Google 這次力推的替代品,用 Go 寫的、反應更快,而且對所有人開放。它跟 Gemini CLI 不是 100% 功能對齊,但常用的 agent skills、hooks、subagents、extensions 一開始就支援。從 Gemini CLI 搬過去,大部分只是改個名字、把環境變數 GEMINI_API_KEY 換成 AV_API_KEY 而已,沒有想像中痛。
費用這塊我幫你整理成一張表(價格為查證當下資訊,實際以官方頁面為準):
| 工具 | 免費額度 | 付費起點 |
|---|---|---|
| Gemini CLI | 個人版 6/18 起停供;只剩付費 API key | API 按 token 計價 |
| Antigravity CLI | 對所有人開放(免費層) | 依 API 方案 |
| Claude Code | 無免費層 | US$20/月起(Pro) |
我自己的判斷是這樣:如果你只是想試水溫、每天跑個幾十次,Antigravity CLI 的免費層先玩著就好。但如果你像我一樣把 agent 當生產力工具在燒,真正該擔心的不是月費,是「按 token 計價會不會失控」。我看過帳單一個任務燒掉好幾美元的慘案,那種痛跟訂閱制完全不同——這部分我在AI agent 帳單暴增真相與砍半省 token 心法裡拆得很細,會用 CLI 工具的人建議先看過再開跑。
下一步:先算你一天大概跑幾次、每次吃多少 context,再決定走免費層還是綁 API key;別等信用卡帳單來才後悔。
怎麼安全安裝?官方 repo、Windows 與假安裝包避雷
安裝本身很簡單,難的是「確定你裝的是真貨」。今年最陰險的攻擊手法,就是讓你在 Google 搜「gemini cli 安裝」時,第一個點進去的根本是假網站。
先講正規流程。Gemini CLI 需要 Node.js 20 以上,安裝指令是:
- ❶ 全域安裝:
npm install -g @google/gemini-cli - ❷ 一次性試用(不想常駐):
npx @google/gemini-cli - ❸ Windows:一樣的指令,先確認 Node 版本
node -v有到 20,PowerShell 或終端機都能跑
Claude Code 則是 npm install -g @anthropic-ai/claude-code,同樣要 Node.js,外加一個付費 Anthropic 帳號。指令都很短,但這正是危險的地方——短到你會憑印象打,或直接複製搜尋結果第一頁的指令。
這裡有個陷阱:資安公司 EclecticIQ 在 2026 年 3 月初就抓到一波 SEO poisoning(搜尋結果下毒)攻擊,專門假冒 Gemini CLI 和 Claude Code 的安裝頁。攻擊者把釣魚網域灌到搜尋結果前排,看起來跟官方一模一樣,你一照著它的指令貼,裝進來的就是 infostealer。
我自己的鐵律是:安裝指令只從官方 repo 或官方文件複製,絕不從搜尋結果的「教學文」直接貼。認明 Gemini CLI 的套件名是 @google/gemini-cli(有 @google/ 這個官方 scope)、Claude Code 是 @anthropic-ai/claude-code;任何少了官方 scope、或名字很像但多一個字的套件,都先當它是假的。這種「憑印象裝東西」的坑,跟我在Claude Code 外掛從零安裝到防雷那篇講的 plugin 市集陷阱是同一種病:便利性越高,越容易關掉戒心。
下一步:把官方 repo 網址加進書籤,之後要裝或更新一律從書籤進去,不再靠 Google 導航。
MCP 權限與工具授權:哪些不該預設開給陌生 repo
這段是整篇最重要的。MCP(Model Context Protocol)讓 AI agent 能接外部工具——查資料庫、讀檔案、發 API——但也等於給了它一組「代替你動手」的權限。權限開太大,出事就不是小事。
如果你還沒搞懂 MCP 到底是什麼、哪些 server 值得接,我建議先補一下MCP 是什麼與不同情境的 server 分工,這裡我直接講「權限怎麼守」。
好消息是 Claude Code 預設就很保守:它跑在 default 模式時,每一個不在 allowedTools 白名單裡的工具呼叫,都會停下來問你一次。MCP 工具也吃同一套 allowedTools/deniedTools 規則,你可以逐個工具名稱允許或拒絕。這是最安全的起手式,別急著關掉。
真正的雷是那個 --dangerously-skip-permissions 旗標。它會讓 agent 不再問你、直接動手,Anthropic 連名字都幫你標了「dangerously」。它存在是因為 headless(無人值守)模式沒辦法互動問你,但很多人為了圖方便,在日常開發也開它——這等於把「每次都問一下」的安全網整個拆掉。
Gemini CLI 這邊則出過更嚴重的問題。資安研究團隊 Novee Security 發現它會自動信任並載入當前 workspace 裡的 agent 設定檔,沒有沙箱、沒有審核就執行。翻成白話:只要你把一個被動過手腳的 repo clone 下來、在裡面開 Gemini CLI,惡意設定就可能在沙箱啟動前,直接在你主機上跑任意指令,偷走 token、憑證和原始碼。Google 已經修補了 Gemini CLI 本體和 run-gemini-cli 的 GitHub Action,但這件事的教訓很清楚。
所以我列了一張「權限別預設開」清單,給陌生或來路不明的 repo 用:
| 權限類型 | 面對陌生 repo 的建議 |
|---|---|
| Shell/執行指令 | 預設關;要開先在乾淨的沙箱或容器裡 |
| 檔案系統寫入 | 限定在專案資料夾,別給整個家目錄 |
| 自動載入 workspace 設定 | 不信任的 repo 一律先關自動信任 |
| MCP 外部工具 | 白名單制,用到才逐一開,不整包放行 |
下一步:現在就去檢查你有沒有把 --dangerously-skip-permissions 寫進日常啟動腳本或別名裡,有的話拿掉。
供應鏈攻擊避雷清單:3 起真實事件與我的檢查表
講到這裡,你應該理解為什麼我一直強調「工具沒問題,周邊才要命」。今年這幾起真實事件,全都不是攻擊 Gemini CLI 或 Claude Code 本身,而是攻擊「用它們的開發者」。
我把三起代表性事件整理出來,你會發現套路高度一致:
- ❶ gemini-ai-checker(2026 年 3 月 20 日):偽裝成「驗證 Gemini token 的小工具」的惡意 npm 套件,帳號叫 gemini-check。它專門翻找 Cursor、Claude、Windsurf、PearAI、Gemini CLI、Eigent AI 這些工具的資料夾,偷 API key、對話紀錄、原始碼、瀏覽器憑證、甚至加密錢包和剪貼簿內容。它跟另外兩個套件合計被下載超過 500 次,payload 被資安人員連到北韓相關的 OtterCookie 後門。
- ❷ mouse5212-super-formatter(2026 年 5 月):第一個「專門」針對 Claude Code 的供應鏈攻擊。它盯上 Claude Code 用的
/mnt/user-data目錄,把偷到的內容用硬編碼的 token 上傳到攻擊者的 GitHub repo,被抓到前已下載 676 次。 - ❸ SEO poisoning 釣魚活動(2026 年 3 月初):就是前面提過的假安裝頁,把使用者導去 infostealer。
看出共通點了嗎?攻擊者不需要攻破工具,只要騙你「多裝一個看起來很方便的小東西」。你每天在終端機裡對 agent 放行慣了,戒心自然降低,這就是他們算準的心理。這種「一時方便換來大災難」的模式,跟我寫過的AI agent 自己刪檔的真實災難與 5 道防線本質上是同一件事——你以為你在控制它,其實你只是還沒踩到那顆雷。
這是我自己在跑 CLI agent 時真的會逐項確認的檢查表:
- ✅ 套件只裝官方 scope(
@google/、@anthropic-ai/),可疑名稱一律不裝 - ✅ API key、token 不寫進程式碼、不放純文字檔,改用密鑰管理器注入
- ✅ 定期輪換 token;一旦某台機器裝過來路不明的東西,立刻作廢重發
- ✅ 不信任的 repo 在容器/沙箱裡開,別直接在有正式憑證的主機上跑
- ✅ MCP 與工具權限走白名單,不用就不開
其中第二點最多人偷懶。很多人把 GEMINI_API_KEY、Anthropic 的金鑰直接貼進 .env 甚至寫死在腳本裡,這正是那些惡意套件最愛翻的東西。我的作法是把金鑰交給密鑰管理器保管,需要時才注入環境變數,不落地成明文檔。像 1Password 這類密碼管理服務就有面向開發者的密鑰保管功能,能把 API key 集中管理、用參照的方式帶進 CLI,而不是散落在各個專案的純文字檔裡——這一步做了,就算哪天不小心裝到投毒套件,它翻你的資料夾也翻不到現成的金鑰。
下一步:今天就把你散在各處的 API key 盤點一次,最少先把最敏感的那幾把(正式環境、付費 API)搬進密鑰管理器。
Gemini CLI、Antigravity CLI、Claude Code、Codex 到底怎麼選?
如果你只是想要一個能用的終端機 AI agent,我會這樣建議,不用糾結太久:
適合先用 Antigravity CLI 的人:預算敏感、想從免費層開始、本來就在 Google 生態裡(用 Gemini、Google Cloud)。它現在是個人取代 Gemini CLI 最順的路。
適合用 Claude Code 的人:願意付月費、看重穩定的權限控制與工作流。我自己主力是 Claude Code,因為那個「每個動作先問一次」的預設讓我睡得比較安穩;它的常見坑我也整理過一篇Codex/Claude Code 常見問題大全,硬碟、成本、限流一次講完。
適合用 Codex 的人:重度 OpenAI 使用者、想要雲端環境。它跟本機該怎麼選、兩個 agent 在同一台電腦會不會打架,我在Codex 雲端環境 vs 本機怎麼選那篇有實測。
但講真的,選哪個工具遠不如「你有沒有把權限和金鑰管好」重要。這幾家在資安設計上各有取捨,可是再嚴謹的工具,也擋不住你自己開 --dangerously-skip-permissions、把金鑰寫死在明文裡。工具是同一台車,安不安全看的是你怎麼開。
下一步:挑一個先深度用一個月,把權限設定和金鑰流程調到你自己安心的狀態,再考慮要不要橫向比較。想一次看完更多 AI 工具的實測與選擇,可以逛逛我整理的AI 應用實測系列。
FAQ 常見問題
Gemini CLI 6/18 之後個人還能免費用嗎?
不能直接免費用了。2026 年 6 月 18 日起,Gemini CLI 停止服務個人版、Google AI Pro 與 Ultra 身份。個人想繼續免費,最順的是改用 Google 的 Antigravity CLI;想用 Gemini CLI 本體,就得綁付費 Gemini API key(按 token 計價)。企業的 Code Assist Standard/Enterprise 授權則不受影響。
Gemini CLI 和 Claude Code 該選哪個?
看你的預算和使用強度。想從免費層試、又在 Google 生態裡,選 Antigravity CLI(Gemini CLI 個人版的替代品);願意付月費、重視穩定的權限控制,選 Claude Code。但比起選工具,先把 MCP 權限白名單和金鑰管理做好,對你的安全更關鍵。
用這些 CLI 工具,我的 API key 會被偷嗎?
工具本身通常不會,但今年多起 npm 投毒事件(如 gemini-ai-checker、mouse5212-super-formatter)就是專門翻找這些工具的資料夾偷 key。只要你把金鑰寫成明文放在專案裡,就有風險。把 API key 交給密鑰管理器、用注入的方式帶進 CLI,並定期輪換,是最實際的防護。
--dangerously-skip-permissions 到底能不能開?
日常開發強烈不建議。它會讓 agent 略過每次確認、直接執行,等於拆掉安全網。它的設計用途是 headless(無人值守、無法互動)場景。真的要用,也只在你完全信任的乾淨環境裡開,別寫進日常啟動腳本。
參考資料
- Google Developers Blog — Transitioning Gemini CLI to Antigravity CLI
- Google for Developers — Gemini Code Assist Quotas and limits
- google-gemini/gemini-cli 官方 GitHub repo
- Claude Code Docs — Configure permissions
- SecurityWeek — Gemini CLI Flaw Enabled Host Code Execution
- Cyber Security News — Fake Gemini npm Package Steals Tokens