Il bug GhostApproval interrompe 6 principali agenti di codifica AI

Il bug GhostApproval interrompe 6 principali agenti di codifica AI

      La società di sicurezza Wiz ha trovato un vecchio trucco Unix che compromette sei popolari assistenti alla codifica AI, da Amazon Q a Cursor. Un repository trappola può portare un agente oltre il proprio avviso di sicurezza. Il guadagno è una chiave piantata che consegna a un attaccante la macchina del sviluppatore.

      Un bug antico ha appena messo in difficoltà gli strumenti più recenti. I ricercatori di Wiz hanno trovato un difetto che chiamano GhostApproval in sei agenti di codifica AI ampiamente utilizzati, riporta The Register. Permette a un repository truccato di spingere un agente a scrivere file ben al di fuori del proprio spazio di lavoro. Da lì, può impossessarsi della macchina del sviluppatore.

      I sei sono Amazon Q Developer, Claude Code di Anthropic, Augment, Cursor, Google Antigravity e Windsurf. Il trucco risale a decenni fa. Abusa dei collegamenti simbolici, o symlink, un vecchio file di collegamento che silenziosamente punta da un'altra parte.

      Come scatta la trappola

      L'attaccante costruisce un repository avvelenato. All'interno si trova un symlink travestito da innocuo file di configurazione, diciamo project_settings.json. In realtà punta alle chiavi SSH dell'utente. Un README poi dice all'agente di aggiungere una riga a quel "config" durante la configurazione.

      Il 💜 della tecnologia UE Le ultime novità dalla scena tecnologica dell'UE, una storia dal nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora! Un sviluppatore clona il repo e chiede all'agente di "configurare lo spazio di lavoro". L'agente segue il README e scrive una chiave SSH controllata dall'attaccante nel vero file delle chiavi. Questo fornisce all'attaccante accesso silenzioso e senza password alla macchina. Rispecchia un precedente difetto di repository trappola in Amazon Q.

      Il problema del timbro di gomma

      La maggior parte di questi strumenti mostra una finestra di conferma prima di azioni rischiose. Wiz ha scoperto che la finestra mentiva per omissione. Gli agenti hanno notato che il symlink puntava da qualche parte pericolosa. Eppure l'avviso nascondeva il vero obiettivo, mostrando solo il nome del file innocuo.

      Claude Code ha gestito la situazione peggio. Il suo stesso ragionamento ha notato che il file era in realtà una configurazione della shell. Poi ha chiesto all'utente: "Vuoi fare questa modifica a project_settings.json?" Wiz ha definito quel consenso "sostanzialmente vuoto". Registra l'avviso nascosto come un secondo difetto separato: un'interfaccia utente che rappresenta male ciò che approvi. È lo stesso punto debole che consente agli attaccanti di dirottare gli agenti di codifica e ingannarli per farli trapelare codice privato.

      Chi l'ha risolto, chi ha shruggato

      Amazon, Cursor e Google l'hanno trattato come un vero bug. Amazon ha emesso un CVE e ha corretto Q Developer. Cursor ha fatto lo stesso nella versione 3.0. Google ha corretto Antigravity a maggio. Augment e Windsurf l'hanno definito critico ma non avevano ancora rilasciato una patch al momento della stampa.

      Anthropic ha respinto, definendo lo scenario "fuori dal nostro modello di minaccia" perché l'utente aveva fiducia nella directory. Il suo sistema di triage ha chiuso il ticket come "informativo". Anthropic ha poi detto a Wiz che la sua correzione precede il rapporto. L'avviso symlink di Claude Code è stato rilasciato il 5 febbraio, nove giorni prima che Wiz presentasse, come indurimento proattivo.

      Perché è importante

      Le imprese concedono a questi agenti un accesso profondo al loro codice e al cloud. Quando l'avviso di sicurezza nasconde il pericolo, l'uomo nel loop diventa un timbro di gomma. I fornitori e i ricercatori ora si dividono sulla correzione: proteggere gli utenti da repository ingannevoli o trattare ciò come compito dello sviluppatore. In ogni caso, una lezione rimane. I nuovi impianti AI inciampano ancora sui bug più antichi.

Altri articoli

Solo il 6% dei manager del Regno Unito pensa che la Gen Z sia pronta per il lavoro Solo il 6% dei manager del Regno Unito pensa che la Gen Z sia pronta per il lavoro Un rapporto del CMI rileva che il 45% della Gen Z nel Regno Unito si sente pronto per il lavoro, ma solo il 6% dei manager è d'accordo, e l'82% di quei manager è stato promosso senza alcuna formazione. Cloudflare e OpenAI avviano un progetto per rendere la ricerca AI più aggiornata Cloudflare e OpenAI avviano un progetto per rendere la ricerca AI più aggiornata Cloudflare sta collaborando con OpenAI per fornire segnali di rete in tempo reale a ChatGPT, un cambiamento per un'azienda costruita per bloccare i crawler AI. GPT-Live di OpenAI: ChatGPT voce che ascolta e parla OpenAI ha lanciato GPT-Live, una voce ChatGPT a doppio verso che ascolta e parla contemporaneamente, con traduzione in tempo reale. Viene distribuito a tutti gli utenti, anche a quelli gratuiti. La NATO sceglie Accenture e Leonardo per un cloud sicuro da 200 milioni di euro La NATO sceglie Accenture e Leonardo per un cloud sicuro da 200 milioni di euro La NATO firma un contratto di ~200 milioni di euro, della durata di sette anni, con Accenture e Leonardo per costruire una rete cloud sicura, il Protected Business Network, per l'Alleanza. Il server AI gratuito di ZML funziona su qualsiasi chip principale. Il server AI gratuito di ZML funziona su qualsiasi chip principale. ZML di Francia rilascia ZML/LLMD, un server di inferenza gratuito che esegue AI open-source su chip Nvidia, AMD, Google, Intel e Apple alla massima velocità. Il CEO di ElevenLabs sui 600 milioni di dollari di fatturato e i laboratori di intelligenza artificiale Il CEO di ElevenLabs sui 600 milioni di dollari di fatturato e i laboratori di intelligenza artificiale Al RAISE Summit di Parigi, il CEO di ElevenLabs Mati Staniszewski ha dettagliato un percorso verso un fatturato riportato di 600 milioni di dollari e come la startup vocale intende superare i laboratori di intelligenza artificiale.

Il bug GhostApproval interrompe 6 principali agenti di codifica AI

Il 'GhostApproval' di Wiz utilizza un vecchio trucco dei symlink per far scrivere sei agenti di codifica AI, da Amazon Q a Cursor, al di fuori della sandbox e consegnare la scatola.