Старый трюк с симлинками обманул шесть популярных ИИ-кодеров.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
ИИ-помощники для программирования должны ускорять работу разработчика, но новая находка Wiz показывает обратную сторону автономных агентов: один неудачный запрос к репозиторию может открыть доступ к файлам за пределами рабочей папки и привести к выполнению кода на машине разработчика.
Исследователи Wiz обнаружили повторяющуюся ошибку проектирования в шести популярных инструментах для написания кода с помощью ИИ. Проблему назвали GhostApproval . По данным компании, уязвимый подход затронул Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity и Windsurf. Главная опасность связана не с редкой криптографической ошибкой или сложной цепочкой эксплойтов, а с давно известным механизмом символических ссылок.
Символическая ссылка выглядит как обычный файл или каталог, но фактически ведет к другому месту в файловой системе. Злоумышленники годами используют такие ссылки, чтобы обходить ограничения доступа и выводить операции за пределы разрешенной области. В классификации MITRE такая проблема описана как CWE-61 . В случае с GhostApproval старый прием встретился с новой архитектурой ИИ-агентов, которые читают инструкции из проекта, предлагают правки и просят разработчика подтвердить действие.
Атака начинается с вредоносного репозитория. Злоумышленник добавляет в проект файл, который выглядит как обычная конфигурация, например project_settings.json, но на самом деле ведет к чувствительному файлу за пределами рабочей папки, например к ~/.ssh/authorized_keys. Затем в README размещается инструкция обновить конфигурацию и добавить туда указанный SSH-ключ. Разработчик клонирует репозиторий и просит ИИ-агента подготовить рабочее окружение или выполнить инструкции из README.
Дальше срабатывает главная проблема. Агент понимает задание, открывает диалог подтверждения и показывает пользователю безобидное имя файла внутри проекта. При этом реальная цель операции скрыта. Разработчик думает, что подтверждает изменение локальной конфигурации, а агент записывает ключ злоумышленника в authorized_keys. После такой записи атакующий получает долговременный доступ к машине по SSH без пароля.
Wiz подчеркивает, что уязвимость ломает саму идею проверки человеком. Формально подтверждение есть, но разработчик не видит критически важную информацию и не может принять осознанное решение. По словам исследователей, классические принципы безопасности, включая разрешение символических ссылок до выполнения операций с файлами, нельзя игнорировать только потому, что действие выполняет ИИ-агент.
На момент публикации признаков активной эксплуатации GhostApproval в реальных атаках не обнаружили. Но риск для компаний остается серьезным: ИИ-инструменты для кода часто получают доступ к корпоративным репозиториям, локальным файлам, облачным учетным данным и средам разработки. Ошибка в границе доверия превращает удобный инструмент в посредника, который по чужой инструкции меняет важные файлы от имени разработчика.
Реакция поставщиков оказалась разной. Amazon признала проблему в Q Developer уязвимостью высокой степени опасности, исправила ошибку и выпустила идентификатор CVE-2026-12958. Cursor также подготовил исправление, включил его в версию 3.0 и оформил CVE-2026-50549. Google оценила ошибку в Antigravity как критическую и развернула исправление 22 мая, а вопрос с отдельным CVE еще рассматривался.
Anthropic сначала заявила Wiz, что описанная атака выходит за рамки модели угроз Claude Code. Компания пояснила: перед запуском инструмента пользователь подтверждает, что считает рабочую папку безопасной, а затем отдельно разрешает операцию с файлом. Поэтому ситуацию с вредоносной символической ссылкой внутри такого проекта Anthropic не стала считать полноценной уязвимостью Claude Code.
Позднее в Claude Code появились предупреждения при работе с символическими ссылками и чувствительными файлами. Представитель Anthropic сообщил, что предупреждение добавили в версии 2.1.32 еще 5 февраля 2026 года, за девять дней до отчета Wiz, в рамках внутреннего усиления безопасности.
Augment и Windsurf получили отчет Wiz и признали проблему, но на момент публикации не выпустили исправления. Представитель Augment заявил, что агент для программирования должен уметь редактировать и запускать код, а при выполнении таких действий работает с правами пользователя. По позиции компании, разработчики несут часть ответственности и должны относиться к коду для ИИ-агентов так же осторожно, как к коду, который запускают вручную.
Wiz считает, что GhostApproval показывает слабое место защиты, построенной на подтверждении со стороны пользователя. Если диалог скрывает настоящую цель операции, разработчик не может принять осознанное решение, а согласие становится формальным.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
ИИ-помощники для программирования должны ускорять работу разработчика, но новая находка Wiz показывает обратную сторону автономных агентов: один неудачный запрос к репозиторию может открыть доступ к файлам за пределами рабочей папки и привести к выполнению кода на машине разработчика.
Исследователи Wiz обнаружили повторяющуюся ошибку проектирования в шести популярных инструментах для написания кода с помощью ИИ. Проблему назвали GhostApproval . По данным компании, уязвимый подход затронул Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity и Windsurf. Главная опасность связана не с редкой криптографической ошибкой или сложной цепочкой эксплойтов, а с давно известным механизмом символических ссылок.
Символическая ссылка выглядит как обычный файл или каталог, но фактически ведет к другому месту в файловой системе. Злоумышленники годами используют такие ссылки, чтобы обходить ограничения доступа и выводить операции за пределы разрешенной области. В классификации MITRE такая проблема описана как CWE-61 . В случае с GhostApproval старый прием встретился с новой архитектурой ИИ-агентов, которые читают инструкции из проекта, предлагают правки и просят разработчика подтвердить действие.
Атака начинается с вредоносного репозитория. Злоумышленник добавляет в проект файл, который выглядит как обычная конфигурация, например project_settings.json, но на самом деле ведет к чувствительному файлу за пределами рабочей папки, например к ~/.ssh/authorized_keys. Затем в README размещается инструкция обновить конфигурацию и добавить туда указанный SSH-ключ. Разработчик клонирует репозиторий и просит ИИ-агента подготовить рабочее окружение или выполнить инструкции из README.
Дальше срабатывает главная проблема. Агент понимает задание, открывает диалог подтверждения и показывает пользователю безобидное имя файла внутри проекта. При этом реальная цель операции скрыта. Разработчик думает, что подтверждает изменение локальной конфигурации, а агент записывает ключ злоумышленника в authorized_keys. После такой записи атакующий получает долговременный доступ к машине по SSH без пароля.
Wiz подчеркивает, что уязвимость ломает саму идею проверки человеком. Формально подтверждение есть, но разработчик не видит критически важную информацию и не может принять осознанное решение. По словам исследователей, классические принципы безопасности, включая разрешение символических ссылок до выполнения операций с файлами, нельзя игнорировать только потому, что действие выполняет ИИ-агент.
На момент публикации признаков активной эксплуатации GhostApproval в реальных атаках не обнаружили. Но риск для компаний остается серьезным: ИИ-инструменты для кода часто получают доступ к корпоративным репозиториям, локальным файлам, облачным учетным данным и средам разработки. Ошибка в границе доверия превращает удобный инструмент в посредника, который по чужой инструкции меняет важные файлы от имени разработчика.
Реакция поставщиков оказалась разной. Amazon признала проблему в Q Developer уязвимостью высокой степени опасности, исправила ошибку и выпустила идентификатор CVE-2026-12958. Cursor также подготовил исправление, включил его в версию 3.0 и оформил CVE-2026-50549. Google оценила ошибку в Antigravity как критическую и развернула исправление 22 мая, а вопрос с отдельным CVE еще рассматривался.
Anthropic сначала заявила Wiz, что описанная атака выходит за рамки модели угроз Claude Code. Компания пояснила: перед запуском инструмента пользователь подтверждает, что считает рабочую папку безопасной, а затем отдельно разрешает операцию с файлом. Поэтому ситуацию с вредоносной символической ссылкой внутри такого проекта Anthropic не стала считать полноценной уязвимостью Claude Code.
Позднее в Claude Code появились предупреждения при работе с символическими ссылками и чувствительными файлами. Представитель Anthropic сообщил, что предупреждение добавили в версии 2.1.32 еще 5 февраля 2026 года, за девять дней до отчета Wiz, в рамках внутреннего усиления безопасности.
Augment и Windsurf получили отчет Wiz и признали проблему, но на момент публикации не выпустили исправления. Представитель Augment заявил, что агент для программирования должен уметь редактировать и запускать код, а при выполнении таких действий работает с правами пользователя. По позиции компании, разработчики несут часть ответственности и должны относиться к коду для ИИ-агентов так же осторожно, как к коду, который запускают вручную.
Wiz считает, что GhostApproval показывает слабое место защиты, построенной на подтверждении со стороны пользователя. Если диалог скрывает настоящую цель операции, разработчик не может принять осознанное решение, а согласие становится формальным.
- Источник новости
- www.securitylab.ru