Ошибка GhostApproval ломает 6 лучших AI-агентов программирования

Ошибка GhostApproval ломает 6 лучших AI-агентов программирования

      Безопасная компания Wiz обнаружила один старый трюк Unix, который ломает шесть популярных AI-ассистентов по программированию, от Amazon Q до Cursor. Бомбоопасный репозиторий может провести агента мимо его собственного предупреждения о безопасности. Награда — это подложенный ключ, который передает злоумышленнику машину разработчика.

      Древний баг только что сбил с толку новейшие инструменты. Исследователи из Wiz нашли уязвимость, которую они назвали GhostApproval, в шести широко используемых AI-агентах по программированию, сообщает The Register. Она позволяет подстроенному репозиторию заставить агента записывать файлы далеко за пределами его рабочего пространства. Оттуда он может захватить машину разработчика.

      Шестеро из них: Amazon Q Developer, Claude Code от Anthropic, Augment, Cursor, Google Antigravity и Windsurf. Этот трюк существует десятилетиями. Он использует символические ссылки, или symlinks, старый файл-ярлык, который тихо указывает на что-то другое.

      Как срабатывает ловушка

      Злоумышленник создает отравленный репозиторий. Внутри находится symlink, замаскированный под невинный файл конфигурации, скажем, project_settings.json. На самом деле он указывает на SSH-ключи пользователя. README затем говорит агенту добавить строку в эту «конфигурацию» во время настройки.

      💜 технологий ЕС Последние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и немного сомнительного AI-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас! Разработчик клонирует репозиторий и просит агента «настроить рабочее пространство». Агент следует README и записывает SSH-ключ, контролируемый злоумышленником, в настоящий файл ключей. Это дает злоумышленнику тихий доступ к машине без пароля. Это отражает предыдущую уязвимость с бомбоопасным репозиторием в Amazon Q.

      Проблема с резолюцией

      Большинство из этих инструментов показывают окно подтверждения перед рискованными действиями. Wiz обнаружил, что окно лжет путем умалчивания. Агенты заметили, что symlink указывает на что-то опасное. Тем не менее, предупреждение скрывало настоящую цель, показывая только безобидное имя файла.

      Claude Code справился с этим хуже всего. Его собственное рассуждение отметило, что файл на самом деле является конфигурацией оболочки. Затем он спросил пользователя: «Сделать это изменение в project_settings.json?» Wiz назвал это согласие «содержательно пустым». Он регистрирует скрытое предупреждение как вторую, отдельную уязвимость: интерфейс, который искажает то, что вы одобряете. Это та же слабая точка, которая позволяет злоумышленникам захватывать кодирующих агентов и обманывать их, заставляя раскрывать частный код.

      Кто исправил, кто пожал плечами

      Amazon, Cursor и Google отнеслись к этому как к настоящему багу. Amazon выпустил CVE и исправил Q Developer. Cursor сделал то же самое в версии 3.0. Google исправил Antigravity в мае. Augment и Windsurf назвали это критическим, но на момент публикации не выпустили патч.

      Anthropic отреагировал, назвав сценарий «вне нашей модели угроз», потому что пользователь доверял директории. Их система приоритизации закрыла тикет как «информативный». Позже Anthropic сообщил Wiz, что их исправление предшествует отчету. Предупреждение о symlink в Claude Code было выпущено 5 февраля, за девять дней до подачи Wiz, как проактивное укрепление.

      Почему это важно

      Предприятия предоставляют этим агентам глубокий доступ к своему коду и облаку. Когда предупреждение о безопасности скрывает опасность, человек в процессе становится просто формальностью. Поставщики и исследователи теперь разделились по поводу исправления: защищать пользователей от обманчивых репозиториев или считать это работой разработчика. В любом случае, одно правило остается. Новая AI-инфраструктура все еще спотыкается о старейшие баги.

Другие статьи

Cloudflare и OpenAI запускают пилотный проект для обновления AI-поиска Cloudflare и OpenAI запускают пилотный проект для обновления AI-поиска Cloudflare проводит пилотный проект с OpenAI, чтобы передавать сигналы сети в реальном времени в поиск ChatGPT, что является поворотом для компании, основанной на блокировке ИИ-краулеров. НАТО привлекает Accenture и Leonardo для создания безопасного облака на сумму 200 миллионов евро НАТО привлекает Accenture и Leonardo для создания безопасного облака на сумму 200 миллионов евро НАТО подписывает семилетний контракт на сумму около 200 миллионов евро с Accenture и Leonardo на создание защищенной облачной инфраструктуры, Защищенной бизнес-сети, для Альянса. Клиенты предпочитают ChatGPT корпоративным чат-ботам, выясняет Gartner Клиенты предпочитают ChatGPT корпоративным чат-ботам, выясняет Gartner По данным Gartner, клиенты в 3 раза чаще используют сторонние GenAI, такие как ChatGPT, для поддержки, чем корпоративные чат-боты, поскольку задержки в возврате инвестиций в ИИ отстают от расходов. GPT-Live от OpenAI: голос ChatGPT, который слушает и говорит OpenAI запустила GPT-Live, полный дуплекс голосового ChatGPT, который слушает и говорит одновременно, с живым переводом. Он доступен всем пользователям, включая бесплатных. Ошибка GhostApproval ломает 6 лучших AI-кодирующих агентов Ошибка GhostApproval ломает 6 лучших AI-кодирующих агентов Программа 'GhostApproval' от Wiz использует старый трюк с символическими ссылками, чтобы заставить шесть AI-агентов кодирования, от Amazon Q до Cursor, писать вне песочницы и передавать коробку. Cloudflare и OpenAI запускают пилотный проект для обновления поиска с помощью ИИ Cloudflare и OpenAI запускают пилотный проект для обновления поиска с помощью ИИ Cloudflare проводит пилотный проект с OpenAI, чтобы передавать сигналы сети в реальном времени в поиск ChatGPT, что является поворотом для компании, основанной на блокировке ИИ-краулеров.

Ошибка GhostApproval ломает 6 лучших AI-агентов программирования

Программа 'GhostApproval' от Wiz использует старый трюк с символической ссылкой, чтобы заставить шесть AI-агентов кодирования, от Amazon Q до Cursor, писать вне песочницы и передавать коробку.