
Investigadores de seguridad de Wiz han descubierto una vulnerabilidad sistemática que afecta a seis de los asistentes de codificación de IA más utilizados, revelando que un vector de ataque clásico de la era Unix, el enlace simbólico, puede engañar a los agentes autónomos para que escriban en archivos sensibles fuera de su espacio de trabajo designado.
Denominada GhostApproval, la vulnerabilidad explota la brecha de confianza entre lo que un agente de codificación de IA ve y lo que el sistema de archivos subyacente realmente contiene. Un atacante crea un repositorio malicioso con un enlace simbólico disfrazado como un archivo de configuración inofensivo, apuntando a un objetivo sensible como `~/.ssh/authorized_keys`. Cuando el desarrollador le pide al agente que configure el espacio de trabajo o siga el README del proyecto, el agente sigue el enlace simbólico y escribe contenido controlado por el atacante en el objetivo real.
Cómo funciona el ataque
En una prueba de concepto descrita por el investigador de Wiz Maor Dokhanian, el atacante crea un directorio con un enlace simbólico llamado `project_settings.json` que apunta a `.ssh/authorized_keys`. El README indica al desarrollador que agregue una clave pública SSH al archivo de configuración. La víctima clona el repositorio y le pide al asistente de IA que lo configure. El agente lee las instrucciones, sigue el enlace simbólico y escribe la clave del atacante en la lista SSH autorizada, otorgando acceso remoto sin contraseña.
El ataque tiene éxito porque los diálogos de confirmación de los asistentes de codificación ocultan el verdadero destino de la operación de escritura. Un usuario ve un mensaje como “¿Hacer esta edición en project_settings.json?” cuando el agente en realidad está escribiendo en `.ssh/authorized_keys`. Dokhanian describió el consentimiento como “formalmente presente pero sustancialmente vacío”.
Herramientas afectadas y respuestas de los proveedores
| Herramienta | Gravedad | Estado |
|————-|———-|——–|
| Amazon Q Developer | Alta, CVE-2026-12958 | Parcheado |
| Cursor | Crítica, CVE-2026-50549 | Parcheado v3.0 |
| Google Antigravity | Crítica | Parcheado 22 de mayo |
| Anthropic Claude Code | Informativa | Advertencia de enlace simbólico en v2.1.32 (5 feb.) |
| Augment | Crítica | Sin parche |
| Windsurf | Crítica | Sin parche |
Anthropic calificó el problema como “informativo” y argumentó que un usuario que confirma explícitamente su confianza en un directorio que contiene un enlace simbólico malicioso queda fuera del modelo de amenazas de la herramienta. Augment declaró que “ningún parche puede separar la capacidad de un agente para editar y ejecutar código de su capacidad para acceder al sistema de archivos”.
Wiz dijo que no ha visto evidencia de explotación activa, pero la vulnerabilidad representa un riesgo empresarial grave dada la rápida adopción de agentes de codificación de IA en entornos de producción.
Traducido por Alessandra

