Ошибка GhostApproval ломает 6 лучших AI-кодирующих агентов

Ошибка GhostApproval ломает 6 лучших AI-кодирующих агентов

      Безопасная компания Wiz обнаружила один старый трюк Unix, который ломает шесть популярных помощников по программированию на основе ИИ, от Amazon Q до Cursor. Бомбоопасный репозиторий может обойти защитный запрос агента. Награда — это подложенный ключ, который передает злоумышленнику машину разработчика.

      Древний баг только что сбил с толку новейшие инструменты. Исследователи из Wiz нашли уязвимость, которую они называют GhostApproval, в шести широко используемых агентах программирования на основе ИИ, сообщает The Register. Она позволяет подстроенному репозиторию заставить агента писать файлы далеко за пределами его рабочего пространства. Оттуда он может захватить машину разработчика.

      Шестёрка включает Amazon Q Developer, Claude Code от Anthropic, Augment, Cursor, Google Antigravity и Windsurf. Этот трюк существует десятилетиями. Он использует символические ссылки, или symlinks, старый файл-ярлык, который тихо указывает на что-то другое.

      Как срабатывает ловушка

      Злоумышленник создает отравленный репозиторий. Внутри находится symlink, замаскированный под невинный файл конфигурации, скажем, project_settings.json. На самом деле он указывает на SSH-ключи пользователя. README затем говорит агенту добавить строку в эту «конфигурацию» во время настройки.

      💜 технологий ЕС Последние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и немного сомнительного ИИ-арта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас! Разработчик клонирует репозиторий и просит агента «настроить рабочее пространство». Агент следует README и записывает SSH-ключ, контролируемый злоумышленником, в настоящий файл ключей. Это дает злоумышленнику тихий, безпарольный доступ к машине. Это отражает ранее обнаруженный недостаток в бомбоопасном репозитории Amazon Q.

      Проблема с резолюцией

      Большинство из этих инструментов показывают окно подтверждения перед рискованными действиями. Wiz обнаружил, что окно лжет путем умалчивания. Агенты заметили, что symlink указывает на что-то опасное. Тем не менее, запрос скрывал настоящую цель, показывая только безвредное имя файла.

      Claude Code справился с этим хуже всего. Его собственное рассуждение отметило, что файл на самом деле является конфигурацией оболочки. Затем он спросил пользователя: «Сделать это изменение в project_settings.json?» Wiz назвал это согласие «содержательно пустым». Он регистрирует скрытый запрос как второй, отдельный недостаток: интерфейс, который искажает то, что вы одобряете. Это та же слабая точка, которая позволяет злоумышленникам захватывать агентов программирования и обманывать их, заставляя раскрывать частный код.

      Кто исправил, кто пожал плечами

      Amazon, Cursor и Google отнеслись к этому как к настоящему багу. Amazon выпустил CVE и исправил Q Developer. Cursor сделал то же самое в версии 3.0. Google исправил Antigravity в мае. Augment и Windsurf назвали это критическим, но на момент публикации не выпустили патч.

      Anthropic отреагировал, назвав сценарий «вне нашей модели угроз», потому что пользователь доверял директории. Их система триажа закрыла тикет как «информативный». Позже Anthropic сообщил Wiz, что их исправление предшествует отчету. Предупреждение о symlink в Claude Code было выпущено 5 февраля, за девять дней до подачи Wiz, как проактивное укрепление.

      Почему это важно

      Предприятия предоставляют этим агентам глубокий доступ к своему коду и облаку. Когда защитный запрос скрывает опасность, человек в процессе становится формальностью. Поставщики и исследователи теперь разделились по поводу исправления: защищать пользователей от обманчивых репозиториев или считать это работой разработчика. В любом случае, одна урок остается. Новая ИИ-инфраструктура все еще спотыкается о старейшие баги.

Другие статьи

GPT-Live от OpenAI: голос ChatGPT, который слушает и говорит OpenAI запустила GPT-Live, полный дуплекс голосового ChatGPT, который слушает и говорит одновременно, с живым переводом. Он доступен всем пользователям, включая бесплатных. GPT-Live от OpenAI: голос ChatGPT, который слушает и говорит OpenAI запустила GPT-Live, полный дуплекс голосового ChatGPT, который слушает и говорит одновременно, с живым переводом. Он доступен всем пользователям, в том числе бесплатным. Марк Кьюбан: Любимый и Replit могут пережить лаборатории ИИ Марк Кьюбан: Любимый и Replit могут пережить лаборатории ИИ На саммите RAISE Марк Кьюбан утверждал, что инструменты для кодирования атмосферы, такие как Lovable и Replit, могут выжить в условиях конкуренции с Anthropic и OpenAI, если они будут владеть рабочим процессом, а не только кодом. Бесплатный AI-сервер ZML работает на любом крупном чипе Бесплатный AI-сервер ZML работает на любом крупном чипе Французская компания ZML выпускает ZML/LLMD, бесплатный сервер вывода, работающий на открытом исходном коде ИИ на чипах Nvidia, AMD, Google, Intel и Apple на максимальной скорости. Генеральный директор ElevenLabs о доходе в 600 миллионов долларов и лабораториях ИИ Генеральный директор ElevenLabs о доходе в 600 миллионов долларов и лабораториях ИИ На саммите RAISE в Париже генеральный директор ElevenLabs Мати Станишевски рассказал о достижении предполагаемого дохода в 600 миллионов долларов и о том, как стартап в области голосовых технологий планирует обойти лаборатории ИИ. НАТО привлекает Accenture и Leonardo для создания безопасного облака на сумму 200 миллионов евро НАТО привлекает Accenture и Leonardo для создания безопасного облака на сумму 200 миллионов евро НАТО подписывает семилетний контракт на сумму около 200 миллионов евро с Accenture и Leonardo на создание защищенной облачной инфраструктуры, Защищенной бизнес-сети, для Альянса.

Ошибка GhostApproval ломает 6 лучших AI-кодирующих агентов

Программа 'GhostApproval' от Wiz использует старый трюк с символическими ссылками, чтобы заставить шесть AI-агентов кодирования, от Amazon Q до Cursor, писать вне песочницы и передавать коробку.