Il bug GhostApproval interrompe 6 dei migliori agenti di codifica AI
La società di sicurezza Wiz ha trovato un vecchio trucco Unix che compromette sei popolari assistenti alla codifica AI, da Amazon Q a Cursor. Un repository trappola può far passare un agente oltre il proprio avviso di sicurezza. Il guadagno è una chiave piantata che consegna a un attaccante la macchina dello sviluppatore.
Un bug antico ha appena messo in difficoltà gli strumenti più recenti. I ricercatori di Wiz hanno trovato un difetto che chiamano GhostApproval in sei agenti di codifica AI ampiamente utilizzati, riporta The Register. Permette a un repository manomesso di spingere un agente a scrivere file molto al di fuori del proprio spazio di lavoro. Da lì, può impossessarsi della macchina dello sviluppatore.
I sei sono Amazon Q Developer, Claude Code di Anthropic, Augment, Cursor, Google Antigravity e Windsurf. Il trucco risale a decenni fa. Abusa dei collegamenti simbolici, o symlink, un vecchio file di collegamento che silenziosamente punta da un'altra parte.
Come scatta la trappola
L'attaccante costruisce un repository avvelenato. All'interno si trova un symlink travestito da innocuo file di configurazione, ad esempio project_settings.json. In realtà punta alle chiavi SSH dell'utente. Un README poi dice all'agente di aggiungere una riga a quella "config" durante la configurazione.
Il 💜 della tecnologia UE Le ultime novità dalla scena tecnologica dell'UE, una storia dal nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora! Uno sviluppatore clona il repository e chiede all'agente di "impostare lo spazio di lavoro". L'agente segue il README e scrive una chiave SSH controllata dall'attaccante nel vero file delle chiavi. Questo fornisce all'attaccante un accesso silenzioso e senza password alla macchina. Rispecchia un precedente difetto del repository trappola in Amazon Q.
Il problema del timbro di gomma
La maggior parte di questi strumenti mostra una finestra di conferma prima di azioni rischiose. Wiz ha scoperto che la finestra mentiva per omissione. Gli agenti hanno notato che il symlink puntava da qualche parte pericolosa. Eppure, l'avviso nascondeva il vero obiettivo, mostrando solo il nome del file innocuo.
Claude Code ha gestito la situazione peggio. Il suo stesso ragionamento ha notato che il file era in realtà una configurazione della shell. Poi ha chiesto all'utente: "Vuoi apportare questa modifica a project_settings.json?" Wiz ha definito quel consenso "sostanzialmente vuoto". Registra l'avviso nascosto come un secondo difetto separato: un'interfaccia utente che rappresenta male ciò che approvi. È lo stesso punto debole che consente agli attaccanti di dirottare gli agenti di codifica e ingannarli per farli trapelare codice privato.
Chi l'ha risolto, chi ha fatto spallucce
Amazon, Cursor e Google l'hanno trattato come un vero bug. Amazon ha emesso un CVE e ha corretto Q Developer. Cursor ha fatto lo stesso nella versione 3.0. Google ha corretto Antigravity a maggio. Augment e Windsurf l'hanno definito critico ma non avevano ancora rilasciato una patch al momento della stampa.
Anthropic ha respinto, definendo lo scenario "al di fuori del nostro modello di minaccia" perché l'utente aveva fiducia nella directory. Il suo sistema di triage ha chiuso il ticket come "informativo". Anthropic ha poi detto a Wiz che la sua correzione precede il rapporto. L'avviso sul symlink di Claude Code è stato rilasciato il 5 febbraio, nove giorni prima della segnalazione di Wiz, come indurimento proattivo.
Perché è importante
Le imprese concedono a questi agenti un accesso profondo al loro codice e al cloud. Quando l'avviso di sicurezza nasconde il pericolo, l'intervento umano diventa un timbro di gomma. I fornitori e i ricercatori ora si dividono sulla correzione: proteggere gli utenti da repository ingannevoli o trattare ciò come compito dello sviluppatore. In ogni caso, una lezione rimane. I nuovi impianti AI inciampano ancora sui bug più antichi.
Other articles
Il bug GhostApproval interrompe 6 dei migliori agenti di codifica AI
Il 'GhostApproval' di Wiz utilizza un vecchio trucco dei symlink per far scrivere sei agenti di codifica AI, da Amazon Q a Cursor, al di fuori della sandbox e consegnare la scatola.
