Alle Depeschen

DepescheWerkzeugeneu

GhostApproval: Symlink-Lücke lässt Coding-Agenten fremde Dateien überschreiben

Sicherheitsforscher von Wiz haben am 8. Juli 2026 unter dem Namen „GhostApproval“ eine Schwachstellenklasse in sechs KI-Coding-Agenten offengelegt: Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity und Windsurf. Ein bösartiges Repository legt eine als harmlose Konfigurationsdatei getarnte symbolische Verknüpfung an (z. B. „project_settings.json“ → „~/.ssh/authorized_keys“). Bittet die README den Agenten, diese „Konfigurationsdatei“ zu bearbeiten, folgt er dem Symlink und schreibt in die sensible Zieldatei – während der Bestätigungsdialog nur den harmlosen Namen zeigt.

Aussagen gegen die Quellen geprüft · 9. Juli 2026

Der Angriff nutzt aus, dass ein Symlink auf einen anderen Pfad zeigt, als sein Name vermuten lässt. Ein präpariertes Repository enthält eine Verknüpfung namens „project_settings.json“, die tatsächlich auf „~/.ssh/authorized_keys“ verweist; die README weist den Agenten an, diese Datei zu ändern. Führt der Agent die Bearbeitung aus, folgt er dem Symlink und schreibt den Angreifer-Schlüssel in die SSH-Konfiguration – der Bestätigungsdialog blendet nur den unverfänglichen Dateinamen ein. Eine Variante zielt über denselben Mechanismus auf Shell-Startdateien wie „~/.zshrc“ und damit auf Codeausführung.

Wiz ordnet GhostApproval als systematisches Muster ein (CWE-61 Symlink-Following plus CWE-451 UI-Falschdarstellung) und meldete es im Frühjahr 2026 koordiniert an die Hersteller; die öffentliche Offenlegung erfolgte am 8. Juli 2026. Patch-Stand laut Wiz: Amazon Q Developer behoben (v1.69.0, CVE-2026-12958), Cursor behoben (v3.0, CVE-2026-50549), Google Antigravity behoben (v1.19.6, CVE ausstehend); Augment und Windsurf arbeiteten zum Offenlegungszeitpunkt noch an einem Fix. Für Anthropics Claude Code führt Wiz „kein Fix“ auf – Anthropic wertete das Symlink-Folgen offenbar nicht als zu behebendes Sicherheitsproblem.

Einordnung: Existenz, Mechanik und Herstellerliste sind über die Wiz-Primärquelle sowie unabhängige Berichterstattung (heise) belegt. Die Lücke reiht sich in die wachsende Klasse von Angriffen ein, bei denen bösartige Inhalte im Arbeitskontext eines Agenten (Repository, README, Webseite) dessen privilegierte Aktionen kapern – vergleichbar mit Prompt-Injection über verlinkte Repos.