Le bug GhostApproval révèle que les assistants de codage IA peuvent être piégés par des attaques de lien symbolique vieilles de plusieurs décennies

Des chercheurs en sécurité de Wiz ont découvert une vulnérabilité systématique affectant six des assistants de codage IA les plus utilisés, révélant qu’un vecteur d’attaque classique de l’ère Unix, le lien symbolique, peut tromper les agents autonomes pour qu’ils écrivent dans des fichiers sensibles en dehors de leur espace de travail désigné.

Surnommée GhostApproval, la vulnérabilité exploite le fossé de confiance entre ce qu’un agent de codage IA voit et ce que le système de fichiers sous-jacent contient réellement. Un attaquant crée un dépôt malveillant avec un lien symbolique déguisé en fichier de configuration inoffensif, pointant vers une cible sensible telle que `~/.ssh/authorized_keys`. Lorsque le développeur demande à l’agent de configurer l’espace de travail ou de suivre le README du projet, l’agent suit le lien symbolique et écrit le contenu contrôlé par l’attaquant vers la cible réelle.

Comment fonctionne l’attaque

Dans une preuve de concept décrite par le chercheur de Wiz Maor Dokhanian, l’attaquant crée un répertoire avec un lien symbolique nommé `project_settings.json` qui pointe vers `.ssh/authorized_keys`. Le README indique au développeur d’ajouter une clé publique SSH au fichier de paramètres. La victime clone le dépôt et demande à l’assistant IA de le configurer. L’agent lit les instructions, suit le lien symbolique et écrit la clé de l’attaquant dans la liste SSH autorisée, accordant un accès à distance sans mot de passe.

L’attaque réussit car les boîtes de dialogue de confirmation des assistants de codage masquent la véritable destination de l’opération d’écriture. Un utilisateur voit une invite telle que “Apporter cette modification à project_settings.json ?” alors que l’agent écrit en réalité dans `.ssh/authorized_keys`. Dokhanian a décrit le consentement comme “formellement présent mais substantiellement vide.”

Outils affectés et réponses des fournisseurs

| Outil | Sévérité | Statut |

|——-|———-|——–|

| Amazon Q Developer | Élevée, CVE-2026-12958 | Corrigé |

| Cursor | Critique, CVE-2026-50549 | Corrigé v3.0 |

| Google Antigravity | Critique | Corrigé le 22 mai |

| Anthropic Claude Code | Informatif | Avertissement lien symbolique dans v2.1.32 (5 fév.) |

| Augment | Critique | Non corrigé |

| Windsurf | Critique | Non corrigé |

Anthropic a qualifié le problème d'”informatif” et a argumenté qu’un utilisateur qui confirme explicitement sa confiance dans un répertoire contenant un lien symbolique malveillant sort du modèle de menace de l’outil. Augment a déclaré qu'”aucun correctif ne peut séparer la capacité d’un agent à éditer et exécuter du code de sa capacité à accéder au système de fichiers.”

Wiz a déclaré n’avoir vu aucune preuve d’exploitation active, mais la vulnérabilité représente un risque sérieux pour les entreprises compte tenu de l’adoption rapide des agents de codage IA dans les environnements de production.

Traduit par Lydie

Scroll to Top