Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Schwachstelle in Coding-Agenten: Zugriff auf beliebige Dateien über Symlinks

Дата публикации: 09-07-2026 07:54:00

Angreifer könnten über ein Repository mit Schadcode auch Zugriff auf Dateien außerhalb einer Sandbox erhalten.

Основное содержимое страницы с новостью.

  1. Schwachstelle in Coding-Agenten: Zugriff auf beliebige Dateien über Symlinks

In sechs großen Coding-Agenten findet sich eine Sicherheitslücke: Über ein Repository mit Schadcode können Angreifer die KI-Modelle dazu bewegen, auf beliebige Dateien zuzugreifen – auch außerhalb einer Sandbox.

IT-Forscher von Wiz haben die Schwachstelle entdeckt und GhostApproval genannt. Die Schwachstelle liegt im Umgang mit symbolischen Links.

Betroffen sind Amazon Q Developer, Anthropics Claude Code, Augment, Cursor, Google Antigravity und Windsurf. Für die meisten Tools existiert inzwischen ein Update, das die Schwachstelle behebt, aber für Augment und Windsurf existieren noch keine Patches.

Symlink als Angriffsvektor

Offenbar prüfen die betroffenen Agenten die Symlinks nicht genügend. Die Wiz-Forscher haben ein Repository erstellt, das den Symlink project_settings.json enthält, der auf die SSH-Schlüssel (~/.ssh/authorized_keys) verweist.

In der Readme-Datei steht die Anweisung, dass der Assistent beim Aufsetzen eines Workspace eine Zeile zu project_settings.json hinzufügen soll. Diese Zeile enthält den SSH-Schlüssel des Angreifers.

Sobald jemand das Repository einem KI-Agenten mit der Bitte übergibt, einen Workspace dafür einzurichten, schreibt der Agent vermeintlich in die harmlose project_settings.json-Datei, die aber keine Projektdatei, sondern ein Symlink auf die SSH-Schlüssel ist. Damit öffnet er den Zugriff über SSH für den Angreifer.

Diagram GhostApproval-Angriff

Die Kombination aus Symlink auf die SSH-Schlüssel und der Anweisung in der Readme-Datei ermöglicht den Angriff.

(Bild: Wiz)

Wiz hat auch erfolgreich eine Variante des Angriffs getestet, die einen Symlink auf die Start-up-Datei der Shell ~/.zshrc nutzt.

Human in the Loop hilft nicht immer

Besonders fatal: Wer auf Sicherheit durch Human in the Loop setzt, könnte getäuscht werden. So erkennt Claude Code im internen Reasoning zwar, dass es sich bei project_settings.json eigentlich um eine zsh-Konfigurationsdatei handelt. Allerdings verschweigt der Assistent im Dialog diese Information und fragt nur „Make this edit to project_settings.json?“

Claude Reasoning und Dialog

Claude Code erkennt zwar, dass es sich um einen symbolischen Link zu einer anderen Datei handelt, verschweigt es aber im Dialog.

(Bild: Wiz)

Andere Tools umgehen die menschliche Interaktion wohl noch weiter: Windsurf schreibt zunächst den SSH-Schlüssel in die Datei und fragt danach, ob es auch okay ist. Augment zeigt gar keinen Dialog.

Fix für die meisten der betroffenen Systeme

Die Forscher haben die Schwachstelle im Februar 2026 entdeckt und an die Hersteller gemeldet. Für Amazon Q Developer, Google Antigravity und Cursor gibt es inzwischen Updates, die das Problem nicht mehr haben. Augment und Windsurf arbeiten daran. Anthropic hat laut eigenen Angaben unabhängig von der Wiz-Untersuchung daran gearbeitet, dass Claude Code Symlinks erkennt und davor warnt.

Weitere Details zu den Schwachstellen und wie sie sich in den einzelnen KI-Agenten zeigen, finden sich im Wiz-Blog.

(Bild: TechSolution / Adobe Stock)

Die Online-Konferenz betterCode() Agentic AI widmet sich am 6. Oktober 2026 zwei zentralen Themen im Zusammenhang mit KI-gestützter Softwareentwicklung: der Analyse und Modernisierung von Legacy-Code sowie den Herausforderungen für die Zusammenarbeit im Team durch die neuen Ansätze.

(rme)

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Атакована недоисправленная уязвимость в Windows-2609-07-2026
2В прошивке роутеров Tenda обнаружена уязвимость для входа под правами администратора и без пароля-2709-07-2026
3СМИ: в Японии из-за хакерской атаки могла произойти утечка оборонных данных0029-05-2020
4Patch for Windows Defender 0-day could allow attackers to fill hard disk0810-07-2026
5WP: Более 11 тыс. сотрудников ведомства США получили доступ к закрытым файлам0021-04-2025
6Уязвимость в пакетном менеджере Guix, допускающая удалённое выполнение кода в системе-5803-07-2026
7150 тысяч программистов едва избежали кибератаки через плагины среды разработки Microsoft VS Code, написанные их нерадивыми коллегами-2816-10-2025
8Как агент сам откроет дверь хакеру? Разбираю три реальных пробоя AI-агентов и почему обычный ред-тиминг их не найдёт5828-06-2026
9AIに対する根本的なセキュリティ課題となる間接プロンプトインジェクション0708-06-2026
10„College Football 27“: EA schmuggelt Mikrotransaktionen in Einzelspieler-Modus-5709-07-2026

Классификация: Общество. Схожих патентов: 0. Схожих новостей: 10. Тональность: -2. Информативность: 6. Источник: www.heise.de.