Nowości

GhostApproval: luka bezpieczeństwa uderza w sześciu asystentów kodujących AI

ProgramowaniePatryk Raba

Posłuchaj tego artykułu

Badacze Wiz Research opisali technikę GhostApproval, która wykorzystuje symlinki do oszukania Amazon Q, Claude Code, Cursora, Augment, Google Antigravity i Windsurfa, prowadząc do zapisu plików poza piaskownicą projektu bez wiedzy programisty.

Spis treści
  1. Gdzie tkwi luka
  2. Reakcje dostawców
  3. Co to znaczy dla programistów

Zespół Wiz Research opisał nową technikę ataku o nazwie GhostApproval, która pozwala złośliwemu repozytorium oszukać asystenta kodującego AI i skłonić go do zapisania pliku poza piaskownicą projektu, mimo że użytkownik formalnie zatwierdza operację. Luka dotyczy sześciu popularnych narzędzi używanych przez programistów na co dzień.

Atak zaczyna się od repozytorium przygotowanego przez napastnika, w którym plik wyglądający niewinnie, na przykład project_settings.json, jest w rzeczywistości dowiązaniem symbolicznym prowadzącym do wrażliwej lokalizacji, choćby katalogu z kluczami SSH. Gdy programista prosi asystenta o konfigurację środowiska pracy, agent podąża za dowiązaniem i zapisuje tam treść dostarczoną przez atakującego, na przykład publiczny klucz SSH dający trwały, bezhasłowy dostęp do maszyny ofiary.

Gdzie tkwi luka

Sama technika podążania za symlinkami jest znana od dekad i sklasyfikowana jako CWE-61. To, co odkryli badacze Wiz, idzie o krok dalej: w kilku przypadkach wewnętrzne rozumowanie agenta poprawnie rozpoznaje niebezpieczny cel operacji, ale okno potwierdzenia pokazywane użytkownikowi całkowicie tę informację ukrywa.

Podczas testów Claude Code wewnętrzne rozumowanie modelu stwierdzało wprost, że plik project_settings.json w rzeczywistości jest plikiem konfiguracyjnym zsh. Mimo to okno dialogowe pokazane użytkownikowi pytało jedynie, czy zatwierdza edycję project_settings.json, bez wzmianki o prawdziwym celu. Agent wiedział, użytkownik nie.

Okna potwierdzeń muszą być bramkami, a nie mechanizmami cofania - badacze Wiz Research

Reakcje dostawców

Trzy firmy zareagowały szybko. AWS wydał poprawkę w wersji 1.69.0 swojego language servera 27 maja 2026 roku i przypisał jej numer CVE-2026-12958. Cursor załatał problem w wersji 3.0 z 5 czerwca 2026 roku pod numerem CVE-2026-50549. Google wdrożył poprawkę 22 maja 2026 roku i wciąż ocenia, czy przypisać jej osobny numer CVE.

Augment i Windsurf potwierdziły otrzymanie zgłoszenia, ale na dzień publikacji nie wydały jeszcze pełnej poprawki, zostawiając swoich użytkowników potencjalnie narażonych. Anthropic poszedł inną drogą i zakwestionował, jakoby zachowanie Claude Code stanowiło lukę, argumentując, że użytkownicy ufający katalogowi projektu sami ponoszą odpowiedzialność za swoje decyzje o zatwierdzeniu.

Co to znaczy dla programistów

Dla zespołów korzystających z agentów kodujących w codziennej pracy GhostApproval to przypomnienie, że mechanizmy zatwierdzania w stylu human in the loop nie chronią automatycznie przed manipulacją, jeśli interfejs pokazuje inną informację niż ta, na której faktycznie operuje model. Otwieranie nieznanego repozytorium i proszenie agenta o konfigurację środowiska bez przeglądu zawartości katalogu roboczego pozostaje ryzykowną praktyką, zwłaszcza przy narzędziach, które jeszcze nie otrzymały poprawki.

Badacze Wiz podkreślili, że problem wykracza poza pojedyncze błędy w konkretnych produktach i dotyczy szerszego pytania projektowego, którego branża jeszcze nie rozstrzygnęła: jak zapewnić, że to, co widzi użytkownik w oknie zgody, faktycznie odpowiada temu, co zrobi agent. Rozbieżne podejścia dostawców, od szybkich łatek po odrzucenie zgłoszenia jako niebędącego luką, pokazują, że standardu w tej kwestii wciąż brakuje.

Dla polskich firm software'owych i freelancerów korzystających z Cursora, Claude Code czy Amazon Q wniosek jest praktyczny: warto zaktualizować narzędzia do najnowszych wersji, ograniczyć automatyczne wykonywanie poleceń konfiguracyjnych na nieznanych repozytoriach i traktować okna potwierdzeń agentów AI z tą samą ostrożnością co linki w podejrzanych mailach.

Źródła: cybersecuritynews.com, infosecurity-magazine.com

Udostępnij: