Ошибка GhostApproval ломает 6 лучших AI-кодирующих агентов
Безопасная компания Wiz обнаружила один старый трюк Unix, который ломает шесть популярных помощников по программированию на основе ИИ, от Amazon Q до Cursor. Бомбоопасный репозиторий может обойти защитный запрос агента. Награда — это подложенный ключ, который передает злоумышленнику машину разработчика.
Древний баг только что сбил с толку новейшие инструменты. Исследователи из Wiz нашли уязвимость, которую они называют GhostApproval, в шести широко используемых агентах программирования на основе ИИ, сообщает The Register. Она позволяет подстроенному репозиторию заставить агента писать файлы далеко за пределами его рабочего пространства. Оттуда он может захватить машину разработчика.
Шестёрка включает Amazon Q Developer, Claude Code от Anthropic, Augment, Cursor, Google Antigravity и Windsurf. Этот трюк существует десятилетиями. Он использует символические ссылки, или symlinks, старый файл-ярлык, который тихо указывает на что-то другое.
Как срабатывает ловушка
Злоумышленник создает отравленный репозиторий. Внутри находится symlink, замаскированный под невинный файл конфигурации, скажем, project_settings.json. На самом деле он указывает на SSH-ключи пользователя. README затем говорит агенту добавить строку в эту «конфигурацию» во время настройки.
💜 технологий ЕС Последние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас! Разработчик клонирует репозиторий и просит агента «настроить рабочее пространство». Агент следует README и записывает SSH-ключ, контролируемый злоумышленником, в настоящий файл ключей. Это дает злоумышленнику тихий, безпарольный доступ к машине. Это отражает ранее обнаруженный недостаток в бомбоопасном репозитории Amazon Q.
Проблема с резолюцией
Большинство из этих инструментов показывают окно подтверждения перед рискованными действиями. Wiz обнаружил, что окно лжет путем умалчивания. Агенты заметили, что symlink указывает на что-то опасное. Тем не менее, запрос скрывал настоящую цель, показывая только безвредное имя файла.
Claude Code справился с этим хуже всего. Его собственное рассуждение отметило, что файл на самом деле является конфигурацией оболочки. Затем он спросил пользователя: «Сделать это изменение в project_settings.json?» Wiz назвал это согласие «содержательно пустым». Он регистрирует скрытый запрос как второй, отдельный недостаток: интерфейс, который искажает то, что вы одобряете. Это та же слабая точка, которая позволяет злоумышленникам захватывать агентов программирования и обманывать их, заставляя раскрывать частный код.
Кто исправил, кто пожал плечами
Amazon, Cursor и Google отнеслись к этому как к настоящему багу. Amazon выпустил CVE и исправил Q Developer. Cursor сделал то же самое в версии 3.0. Google исправил Antigravity в мае. Augment и Windsurf назвали это критическим, но на момент публикации не выпустили патч.
Anthropic отреагировал, назвав сценарий «вне нашей модели угроз», потому что пользователь доверял директории. Их система триажа закрыла тикет как «информативный». Позже Anthropic сообщил Wiz, что их исправление предшествует отчету. Предупреждение о symlink в Claude Code было выпущено 5 февраля, за девять дней до подачи Wiz, как проактивное укрепление.
Почему это важно
Предприятия предоставляют этим агентам глубокий доступ к своему коду и облаку. Когда защитный запрос скрывает опасность, человек в процессе становится формальностью. Поставщики и исследователи теперь разделились по поводу исправления: защищать пользователей от обманчивых репозиториев или считать это работой разработчика. В любом случае, одна урок остается. Новая ИИ-инфраструктура все еще спотыкается о старейшие баги.
Другие статьи
Ошибка GhostApproval ломает 6 лучших AI-кодирующих агентов
Программа 'GhostApproval' от Wiz использует старый трюк с символическими ссылками, чтобы заставить шесть AI-агентов кодирования, от Amazon Q до Cursor, писать вне песочницы и передавать коробку.
