El error de GhostApproval rompe 6 principales agentes de codificación de IA
La firma de seguridad Wiz encontró un viejo truco de Unix que rompe seis populares asistentes de codificación de IA, desde Amazon Q hasta Cursor. Un repositorio con trampa puede llevar a un agente más allá de su propio aviso de seguridad. La recompensa es una clave plantada que le entrega a un atacante la máquina del desarrollador.
Un antiguo error acaba de tropezar con las herramientas más nuevas. Los investigadores de Wiz encontraron un defecto que llaman GhostApproval en seis agentes de codificación de IA ampliamente utilizados, informa The Register. Permite que un repositorio manipulado empuje a un agente a escribir archivos muy fuera de su espacio de trabajo. Desde allí, puede apoderarse de la máquina del desarrollador.
Los seis son Amazon Q Developer, Claude Code de Anthropic, Augment, Cursor, Google Antigravity y Windsurf. El truco data de décadas. Abusa de los enlaces simbólicos, o symlinks, un antiguo archivo de acceso directo que silenciosamente apunta a otro lugar.
Cómo se activa la trampa
El atacante construye un repositorio envenenado. Dentro hay un symlink disfrazado como un inocente archivo de configuración, digamos project_settings.json. En realidad, apunta a las claves SSH del usuario. Luego, un README le dice al agente que agregue una línea a esa "configuración" durante la configuración.
El 💜 de la tecnología de la UE Las últimas novedades de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris, y un arte de IA cuestionable. Es gratis, cada semana, en tu bandeja de entrada. ¡Inscríbete ahora! Un desarrollador clona el repositorio y le pide al agente que “configure el espacio de trabajo.” El agente sigue el README y escribe una clave SSH controlada por el atacante en el archivo real de claves. Eso le da al atacante acceso silencioso y sin contraseña a la máquina. Refleja un error anterior de repositorio con trampa en Amazon Q.
El problema del sello de goma
La mayoría de estas herramientas muestran un cuadro de confirmación antes de acciones arriesgadas. Wiz encontró que el cuadro mentía por omisión. Los agentes notaron que el symlink apuntaba a un lugar peligroso. Sin embargo, el aviso ocultaba el verdadero objetivo, mostrando solo el nombre del archivo inofensivo.
Claude Code lo manejó peor. Su propio razonamiento notó que el archivo era realmente una configuración de shell. Luego le preguntó al usuario: “¿Hacer esta edición en project_settings.json?” Wiz llamó a ese consentimiento “sustancialmente vacío.” Registra el aviso oculto como un segundo defecto separado: una interfaz de usuario que tergiversa lo que apruebas. Es el mismo punto débil que permite a los atacantes secuestrar agentes de codificación y engañarlos para que filtren código privado.
Quién lo solucionó, quién se encogió de hombros
Amazon, Cursor y Google lo trataron como un verdadero error. Amazon emitió un CVE y parcheó Q Developer. Cursor hizo lo mismo en la versión 3.0. Google arregló Antigravity en mayo. Augment y Windsurf lo llamaron crítico pero no habían enviado un parche al momento de la publicación.
Anthropic se opuso, llamando al escenario “fuera de nuestro modelo de amenaza” porque el usuario había confiado en el directorio. Su sistema de triaje cerró el ticket como “informativo.” Anthropic luego le dijo a Wiz que su solución precede al informe. La advertencia de symlink de Claude Code se envió el 5 de febrero, nueve días antes de que Wiz presentara el informe, como un endurecimiento proactivo.
Por qué es importante
Las empresas le dan a estos agentes un acceso profundo a su código y nube. Cuando el aviso de seguridad oculta el peligro, el humano en el bucle se convierte en un sello de goma. Los proveedores e investigadores ahora están divididos sobre la solución: proteger a los usuarios de repositorios engañosos, o tratar eso como trabajo del desarrollador. De cualquier manera, hay una lección que se mantiene. La nueva plomería de IA aún tropieza con los errores más antiguos.
Otros artículos
El error de GhostApproval rompe 6 principales agentes de codificación de IA
El 'GhostApproval' de Wiz utiliza un viejo truco de symlink para hacer que seis agentes de codificación de IA, desde Amazon Q hasta Cursor, escriban fuera del sandbox y entreguen la caja.
