Kerentanan  ·  2026-07-10

GhostApproval: Symlink-Based Trust-Boundary Bypass di Enam Asisten Coding AI Utama

KerentananHigh dampakGlobalCVE-2026-50549
Peneliti Wiz mengungkapkan (blog Wiz, dilaporkan 2026-07-08 oleh SC Media/GBHackers/TheHackerNews/Cyber Security News) cacat symlink-following trust-boundary sistemik yang mempengaruhi enam asisten coding AI yang paling banyak digunakan, memungkinkan repositori berbahaya untuk menipu agen agar membaca atau menulis file di luar ruang kerja yang dimaksudkan, hingga menanam kunci SSH untuk akses jarak jauh yang persisten.
Ini adalah kelas serangan eksekusi agen lintas vendor yang baru dengan PoC yang berfungsi (penanaman kunci SSH ditunjukkan) yang mempengaruhi model kepercayaan yang mendasari keamanan 'Human-in-the-Loop' untuk enam agen coding AI utama yang digunakan oleh jutaan pengembang. Respons vendor terbagi — beberapa diperbaiki, beberapa (Augment, Windsurf) tetap tidak diperbaiki atau menggugat temuan — meninggalkan jangkauan ledakan luas yang aktif di seluruh mesin pengembang yang mengkloning dan menganalisis repositori yang tidak dipercaya dengan asisten AI.
Repositori berbahaya berisi symlink yang menyamar sebagai file yang tidak bersalah (misalnya, project_settings.json menunjuk ke ~/.ssh/authorized_keys). Ketika pengembang meminta asisten coding AI mereka untuk 'menyiapkan ruang kerja,' agen mengikuti symlink dan menulis konten yang dikendalikan penyerang (misalnya, kunci publik SSH) ke file target nyata di luar sandbox proyek. UI konfirmasi/persetujuan yang ditampilkan kepada pengguna hanya menampilkan nama file pengganti yang tidak berbahaya, bukan jalur sensitif yang diselesaikan, menjadikan persetujuan Human-in-the-Loop sebagai rubber stamp — CWE-61 (symlink following) dikombinasikan dengan CWE-451 (misrepresentasi UI).
Amazon Q Developer (Language Servers for AWS < 1.69.0), Cursor (< 3.0), Google Antigravity, Anthropic Claude Code, Augment Code, Windsurf
AWS diperbaiki melalui Language Servers for AWS 1.69.0 (CVE-2026-12958, CVSS 7.8); Cursor diperbaiki dalam v3.0 (CVE-2026-50549, CVSS 9.8, GHSA-3v8f-48vw-3mjx); Google memperbaiki Antigravity pada Mei 2026 (CVE tertunda); Anthropic menambahkan peringatan symlink ke Claude Code v2.1.32. Augment Code menggugat bahwa ini adalah kerentanan dan tidak telah diperbaiki; perbaikan Windsurf tetap tertunda. Mitigasi yang direkomendasikan: selesaikan jalur kanonis sebelum menampilkan permintaan konfirmasi, beri peringatan ketika tindakan menargetkan lokasi di luar ruang kerja, dan pantau untuk pembuatan symlink/modifikasi file sensitif.
SC Media — GhostApproval technique leads AI coding tools to alter files outside of sandboxCybersecurity News — New GhostApproval Vulnerability Affects Amazon Q, Claude Code, Cursor, and Other AI Agents
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →