El error de GhostApproval rompe 6 principales agentes de codificación de IA

El error de GhostApproval rompe 6 principales agentes de codificación de IA

      La firma de seguridad Wiz encontró un viejo truco de Unix que rompe seis populares asistentes de codificación de IA, desde Amazon Q hasta Cursor. Un repositorio con trampa puede llevar a un agente más allá de su propio aviso de seguridad. La recompensa es una clave plantada que le entrega a un atacante la máquina del desarrollador.

      Un antiguo error acaba de tropezar con las herramientas más nuevas. Los investigadores de Wiz encontraron un defecto que llaman GhostApproval en seis agentes de codificación de IA ampliamente utilizados, informa The Register. Permite que un repositorio manipulado empuje a un agente a escribir archivos muy fuera de su espacio de trabajo. Desde allí, puede apoderarse de la máquina del desarrollador.

      Los seis son Amazon Q Developer, Claude Code de Anthropic, Augment, Cursor, Google Antigravity y Windsurf. El truco data de décadas. Abusa de los enlaces simbólicos, o symlinks, un antiguo archivo de acceso directo que silenciosamente apunta a otro lugar.

      Cómo se activa la trampa

      El atacante construye un repositorio envenenado. Dentro hay un symlink disfrazado como un inocente archivo de configuración, digamos project_settings.json. En realidad, apunta a las claves SSH del usuario. Luego, un README le dice al agente que agregue una línea a esa "configuración" durante la configuración.

      El 💜 de la tecnología de la UE Las últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris, y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Inscríbete ahora! Un desarrollador clona el repositorio y le pide al agente que “configure el espacio de trabajo.” El agente sigue el README y escribe una clave SSH controlada por el atacante en el archivo real de claves. Eso le da al atacante acceso silencioso y sin contraseña a la máquina. Refleja un error anterior de repositorio con trampa en Amazon Q.

      El problema del sello de goma

      La mayoría de estas herramientas muestran un cuadro de confirmación antes de acciones arriesgadas. Wiz encontró que el cuadro mentía por omisión. Los agentes notaron que el symlink apuntaba a un lugar peligroso. Sin embargo, el aviso ocultaba el verdadero objetivo, mostrando solo el nombre del archivo inofensivo.

      Claude Code lo manejó peor. Su propio razonamiento notó que el archivo era realmente una configuración de shell. Luego le preguntó al usuario: “¿Hacer esta edición en project_settings.json?” Wiz llamó a ese consentimiento “sustancialmente vacío.” Registra el aviso oculto como un segundo defecto separado: una interfaz de usuario que tergiversa lo que apruebas. Es el mismo punto débil que permite a los atacantes secuestrar agentes de codificación y engañarlos para que filtren código privado.

      Quién lo solucionó, quién se encogió de hombros

      Amazon, Cursor y Google lo trataron como un verdadero error. Amazon emitió un CVE y parcheó Q Developer. Cursor hizo lo mismo en la versión 3.0. Google arregló Antigravity en mayo. Augment y Windsurf lo llamaron crítico pero no habían enviado un parche al momento de la publicación.

      Anthropic se opuso, llamando al escenario “fuera de nuestro modelo de amenaza” porque el usuario había confiado en el directorio. Su sistema de triaje cerró el ticket como “informativo.” Anthropic luego le dijo a Wiz que su solución precede al informe. La advertencia de symlink de Claude Code se envió el 5 de febrero, nueve días antes de que Wiz presentara el informe, como un endurecimiento proactivo.

      Por qué es importante

      Las empresas le dan a estos agentes un acceso profundo a su código y nube. Cuando el aviso de seguridad oculta el peligro, el humano en el bucle se convierte en un sello de goma. Los proveedores e investigadores ahora están divididos sobre la solución: proteger a los usuarios de repositorios engañosos, o tratar eso como trabajo del desarrollador. De cualquier manera, hay una lección que se mantiene. La nueva plomería de IA aún tropieza con los errores más antiguos.

Otros artículos

Solo el 6% de los gerentes del Reino Unido creen que la Generación Z está lista para trabajar. Solo el 6% de los gerentes del Reino Unido creen que la Generación Z está lista para trabajar. Un informe de CMI encuentra que el 45% de la Generación Z del Reino Unido se siente listo para trabajar, pero solo el 6% de los gerentes está de acuerdo, y el 82% de esos gerentes fueron promovidos sin ninguna capacitación. Cloudflare y OpenAI pilotan para hacer que la búsqueda de IA sea más actualizada. Cloudflare y OpenAI pilotan para hacer que la búsqueda de IA sea más actualizada. Cloudflare está realizando una prueba con OpenAI para alimentar señales de red en tiempo real en la búsqueda de ChatGPT, un giro para una empresa construida sobre el bloqueo de rastreadores de IA. Los clientes prefieren ChatGPT a los chatbots de la empresa, según Gartner. Los clientes prefieren ChatGPT a los chatbots de la empresa, según Gartner. Los clientes tienen 3 veces más probabilidades de utilizar GenAI de terceros como ChatGPT que los chatbots de la empresa para soporte, según Gartner, ya que los retornos de IA retrasan el gasto. GPT-Live de OpenAI: ChatGPT voz que escucha y habla OpenAI ha lanzado GPT-Live, una voz de ChatGPT de dúplex completo que escucha y habla al mismo tiempo, con traducción en vivo. Se implementa para todos los usuarios, incluidos los gratuitos. Perplexity está construyendo silenciosamente una herramienta de codificación de IA. Perplexity está construyendo silenciosamente una herramienta de codificación de IA. Perplexity ha construido una herramienta de codificación interna con el nombre en clave "Teammate" que podría competir con Cursor y Claude Code, informa Business Insider. Un lanzamiento no está confirmado. La OTAN selecciona a Accenture y Leonardo para una nube segura de 200 millones de euros. La OTAN selecciona a Accenture y Leonardo para una nube segura de 200 millones de euros. La OTAN firma un contrato de ~200 millones de euros, por siete años, con Accenture y Leonardo para construir una infraestructura de nube segura, la Red Empresarial Protegida, para la Alianza.

El error de GhostApproval rompe 6 principales agentes de codificación de IA

El 'GhostApproval' de Wiz utiliza un viejo truco de symlink para hacer que seis agentes de codificación de IA, desde Amazon Q hasta Cursor, escriban fuera del sandbox y entreguen la caja.