Der Angriff nutzt aus, dass ein Symlink auf einen anderen Pfad zeigt, als sein Name vermuten lässt. Ein präpariertes Repository enthält eine Verknüpfung namens „project_settings.json“, die tatsächlich auf „~/.ssh/authorized_keys“ verweist; die README weist den Agenten an, diese Datei zu ändern. Führt der Agent die Bearbeitung aus, folgt er dem Symlink und schreibt den Angreifer-Schlüssel in die SSH-Konfiguration – der Bestätigungsdialog blendet nur den unverfänglichen Dateinamen ein. Eine Variante zielt über denselben Mechanismus auf Shell-Startdateien wie „~/.zshrc“ und damit auf Codeausführung.
Wiz ordnet GhostApproval als systematisches Muster ein (CWE-61 Symlink-Following plus CWE-451 UI-Falschdarstellung) und meldete es im Frühjahr 2026 koordiniert an die Hersteller; die öffentliche Offenlegung erfolgte am 8. Juli 2026. Patch-Stand laut Wiz: Amazon Q Developer behoben (v1.69.0, CVE-2026-12958), Cursor behoben (v3.0, CVE-2026-50549), Google Antigravity behoben (v1.19.6, CVE ausstehend); Augment und Windsurf arbeiteten zum Offenlegungszeitpunkt noch an einem Fix. Für Anthropics Claude Code führt Wiz „kein Fix“ auf – Anthropic wertete das Symlink-Folgen offenbar nicht als zu behebendes Sicherheitsproblem.
Einordnung: Existenz, Mechanik und Herstellerliste sind über die Wiz-Primärquelle sowie unabhängige Berichterstattung (heise) belegt. Die Lücke reiht sich in die wachsende Klasse von Angriffen ein, bei denen bösartige Inhalte im Arbeitskontext eines Agenten (Repository, README, Webseite) dessen privilegierte Aktionen kapern – vergleichbar mit Prompt-Injection über verlinkte Repos.