GhostApproval
A Wiz Research a GhostApproval néven egy olyan, kategóriaszintű biztonsági hibát azonosított, amely hat népszerű AI-kódoló asszisztenst érintett: Amazon Q Developer, Claude Code, Cursor, Google Antigravity, Augment és Windsurf. A probléma nem egy hagyományos szoftverhiba, hanem egy hibás trust boundary a felhasználói jóváhagyás és a tényleges fájlművelet között. A kutatók kimutatták, hogy egy támadó egy rosszindulatú Git-tárban symlink-et helyezhet el, amely például egy ártalmatlannak tűnő project_settings.json fájlra mutat, valójában azonban egy érzékeny rendszerfájlt – például ~/.ssh/authorized_keys, ~/.zshrc vagy az AI-asszisztens saját konfigurációs állományát – célozza. Ha a fejlesztő megkéri az AI-t, hogy állítsa be a projektet vagy kövesse a README utasításait, az agent a symlinket követve a valódi célfájlt módosítja.
A Wiz szerint a legfontosabb probléma az, hogy a Human-in-the-Loop védelem csak látszólag működik. Több érintett eszköz belső működése felismerte, hogy a cél egy symlink, és tudta, hogy a módosítás valójában egy érzékeny rendszerfájlt érint, a felhasználónak megjelenített jóváhagyási ablak azonban továbbra is csak az ártalmatlannak tűnő projektfájlt mutatta. Így a felhasználó ugyan jóváhagyta a műveletet, de nem arról kapott tájékoztatást, hogy valójában melyik fájl módosul, ezért a hozzájárulása nem tekinthető valóban tájékozottnak. A Wiz ezt informed consent bypass problémának nevezi.
A kutatók két gyakorlati támadási forgatókönyvet mutattak be. Az egyikben az AI-asszisztens egy támadó SSH-publikus kulcsát írja be az áldozat authorized_keys fájljába, így a támadó jelszó nélkül is bejelentkezhet a fejlesztő gépére, ha az SSH elérhető. A másik esetben a malware a ~/.zshrc vagy más shell-indító fájlt módosítja, amely a következő terminálnyitáskor automatikusan végrehajtja a támadó által beillesztett parancsokat, így RCE és tartós hozzáférés alakítható ki. A Windsurf bizonyult a legsúlyosabban érintettnek, mert a vizsgálat idején a fájlmódosítást még a jóváhagyási párbeszédablak megjelenése előtt végrehajtotta, vagyis a felhasználó „Elfogadás/Elutasítás” gombja valójában csak visszavonási lehetőségként szolgált.
A Wiz felelős módon jelentette a hibát az érintett gyártóknak. Az Amazon (CVE-2026-12958), a Cursor (CVE-2026-50549) és a Google javítást adott ki, míg az Anthropic módosította a Claude Code működését úgy, hogy a legújabb verziók már feloldják a symlinkeket és figyelmeztetik a felhasználót.