Il bug GhostApproval interrompe 6 dei migliori agenti di codifica AI

Il bug GhostApproval interrompe 6 dei migliori agenti di codifica AI

      La società di sicurezza Wiz ha trovato un vecchio trucco Unix che compromette sei popolari assistenti alla codifica AI, da Amazon Q a Cursor. Un repository trappola può far passare un agente oltre il proprio avviso di sicurezza. Il guadagno è una chiave piantata che consegna a un attaccante la macchina dello sviluppatore.

      Un bug antico ha appena messo in difficoltà gli strumenti più recenti. I ricercatori di Wiz hanno trovato un difetto che chiamano GhostApproval in sei agenti di codifica AI ampiamente utilizzati, riporta The Register. Permette a un repository manomesso di spingere un agente a scrivere file molto al di fuori del proprio spazio di lavoro. Da lì, può impossessarsi della macchina dello sviluppatore.

      I sei sono Amazon Q Developer, Claude Code di Anthropic, Augment, Cursor, Google Antigravity e Windsurf. Il trucco risale a decenni fa. Abusa dei collegamenti simbolici, o symlink, un vecchio file di collegamento che silenziosamente punta da un'altra parte.

      Come scatta la trappola

      L'attaccante costruisce un repository avvelenato. All'interno si trova un symlink travestito da innocuo file di configurazione, ad esempio project_settings.json. In realtà punta alle chiavi SSH dell'utente. Un README poi dice all'agente di aggiungere una riga a quella "config" durante la configurazione.

      Il 💜 della tecnologia UE Le ultime novità dalla scena tecnologica dell'UE, una storia dal nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora! Uno sviluppatore clona il repository e chiede all'agente di "impostare lo spazio di lavoro". L'agente segue il README e scrive una chiave SSH controllata dall'attaccante nel vero file delle chiavi. Questo fornisce all'attaccante un accesso silenzioso e senza password alla macchina. Rispecchia un precedente difetto del repository trappola in Amazon Q.

      Il problema del timbro di gomma

      La maggior parte di questi strumenti mostra una finestra di conferma prima di azioni rischiose. Wiz ha scoperto che la finestra mentiva per omissione. Gli agenti hanno notato che il symlink puntava da qualche parte pericolosa. Eppure, l'avviso nascondeva il vero obiettivo, mostrando solo il nome del file innocuo.

      Claude Code ha gestito la situazione peggio. Il suo stesso ragionamento ha notato che il file era in realtà una configurazione della shell. Poi ha chiesto all'utente: "Vuoi apportare questa modifica a project_settings.json?" Wiz ha definito quel consenso "sostanzialmente vuoto". Registra l'avviso nascosto come un secondo difetto separato: un'interfaccia utente che rappresenta male ciò che approvi. È lo stesso punto debole che consente agli attaccanti di dirottare gli agenti di codifica e ingannarli per farli trapelare codice privato.

      Chi l'ha risolto, chi ha fatto spallucce

      Amazon, Cursor e Google l'hanno trattato come un vero bug. Amazon ha emesso un CVE e ha corretto Q Developer. Cursor ha fatto lo stesso nella versione 3.0. Google ha corretto Antigravity a maggio. Augment e Windsurf l'hanno definito critico ma non avevano ancora rilasciato una patch al momento della stampa.

      Anthropic ha respinto, definendo lo scenario "al di fuori del nostro modello di minaccia" perché l'utente aveva fiducia nella directory. Il suo sistema di triage ha chiuso il ticket come "informativo". Anthropic ha poi detto a Wiz che la sua correzione precede il rapporto. L'avviso sul symlink di Claude Code è stato rilasciato il 5 febbraio, nove giorni prima della segnalazione di Wiz, come indurimento proattivo.

      Perché è importante

      Le imprese concedono a questi agenti un accesso profondo al loro codice e al cloud. Quando l'avviso di sicurezza nasconde il pericolo, l'intervento umano diventa un timbro di gomma. I fornitori e i ricercatori ora si dividono sulla correzione: proteggere gli utenti da repository ingannevoli o trattare ciò come compito dello sviluppatore. In ogni caso, una lezione rimane. I nuovi impianti AI inciampano ancora sui bug più antichi.

Other articles

La NATO sceglie Accenture e Leonardo per un cloud sicuro da 200 milioni di euro La NATO sceglie Accenture e Leonardo per un cloud sicuro da 200 milioni di euro La NATO firma un contratto di ~200 milioni di euro, della durata di sette anni, con Accenture e Leonardo per costruire una rete cloud sicura, il Protected Business Network, per l'Alleanza. Cloudflare e OpenAI avviano un progetto per rendere la ricerca AI più aggiornata Cloudflare e OpenAI avviano un progetto per rendere la ricerca AI più aggiornata Cloudflare sta collaborando con OpenAI per fornire segnali di rete in tempo reale a ChatGPT, un cambiamento per un'azienda costruita per bloccare i crawler AI. Mark Cuban: Amabile e Replit possono superare i laboratori di intelligenza artificiale Mark Cuban: Amabile e Replit possono superare i laboratori di intelligenza artificiale Al RAISE Summit, Mark Cuban ha sostenuto che strumenti di vibe-coding come Lovable e Replit possono sopravvivere ad Anthropic e OpenAI possedendo il flusso di lavoro, non solo il codice. OpenAI's GPT-Live: ChatGPT voce che ascolta e parla OpenAI ha lanciato GPT-Live, una voce ChatGPT a pieno duplex che ascolta e parla contemporaneamente, con traduzione in tempo reale. Viene distribuito a tutti gli utenti, anche a quelli gratuiti. La NATO sceglie Accenture e Leonardo per un cloud sicuro da 200 milioni di euro La NATO sceglie Accenture e Leonardo per un cloud sicuro da 200 milioni di euro La NATO firma un contratto di ~200 milioni di euro, della durata di sette anni, con Accenture e Leonardo per costruire un'infrastruttura cloud sicura, il Protected Business Network, per l'Alleanza. Il server AI gratuito di ZML funziona su qualsiasi chip principale. Il server AI gratuito di ZML funziona su qualsiasi chip principale. ZML di Francia rilascia ZML/LLMD, un server di inferenza gratuito che esegue AI open-source su chip Nvidia, AMD, Google, Intel e Apple alla massima velocità.

Il bug GhostApproval interrompe 6 dei migliori agenti di codifica AI

Il 'GhostApproval' di Wiz utilizza un vecchio trucco dei symlink per far scrivere sei agenti di codifica AI, da Amazon Q a Cursor, al di fuori della sandbox e consegnare la scatola.