
Wiz的安全研究人员发现了一个系统性漏洞,影响了六款最广泛使用的AI编程助手,揭示了一个经典的Unix时代攻击向量,,符号链接,,可以欺骗自主智能体,使其在指定工作区之外写入敏感文件。
这个被称为GhostApproval的漏洞利用了AI编程智能体所看到的与底层文件系统实际内容之间的信任差距。攻击者创建一个带有伪装成无害配置文件的符号链接的恶意仓库,将其指向一个敏感目标,例如 `~/.ssh/authorized_keys`。当开发者要求智能体设置工作区或遵循项目的README时,智能体会跟随符号链接,将攻击者控制的内容写入真实目标。
攻击原理
在Wiz研究员Maor Dokhanian描述的概念验证中,攻击者创建一个目录,其中包含一个名为 `project_settings.json` 的符号链接,指向 `.ssh/authorized_keys`。README指示开发者向设置文件添加SSH公钥。受害者克隆仓库并要求AI助手进行设置。智能体读取指令,跟随符号链接,并将攻击者的密钥写入授权的SSH列表,从而授予无密码远程访问权限。
攻击之所以成功,是因为编程助手的确认对话框隐藏了写入操作的真实目的地。用户会看到诸如”是否对 project_settings.json 进行此编辑?”的提示,而智能体实际上正在写入 `.ssh/authorized_keys`。Dokhanian将这种同意描述为”形式上存在,但实质上空洞”。
受影响的工具和供应商回应
| 工具 | 严重性 | 状态 |
|——|——–|——|
| Amazon Q Developer | 高,CVE-2026-12958 | 已修复 |
| Cursor | 严重,CVE-2026-50549 | 已修复 v3.0 |
| Google Antigravity | 严重 | 5月22日已修复 |
| Anthropic Claude Code | 信息性 | v2.1.32中符号链接警告(2月5日) |
| Augment | 严重 | 未修复 |
| Windsurf | 严重 | 未修复 |
Anthropic将这个问题标记为”信息性”,并认为明确确认信任包含恶意符号链接的目录的用户超出了该工具的威胁模型范围。Augment表示”没有任何补丁能够将智能体编辑和运行代码的能力与其访问文件系统的能力分开”。
Wiz表示尚未看到积极利用的证据,但鉴于AI编程智能体在生产环境中的快速采用,该漏洞代表了严重的企业风险。
婷 翻译

