脆弱性  ·  2026-07-10

GhostApproval:6つの主要なAIコーディング・アシスタント全体に渡るシンボリック・リンク・ベースの信頼境界バイパス

脆弱性High 影響度GlobalCVE-2026-50549
Wizの研究者は、最も広く使用されている6つのAIコーディング・アシスタントに影響する体系的なシンボリック・リンク追跡の信頼境界の欠陥(Wizブログで報告、2026年7月8日にSC Media/GBHackers/TheHackerNews/Cyber Security Newsで報告)を開示し、悪意のあるリポジトリがエージェントを誤信させて、意図された作業スペースの外側にあるファイルを読み取りまたは書き込み、永続的なリモート・アクセスのためのSSHキーをプラントするまでを可能にしている。
これは、6つの主要なAIコーディング・エージェントの「ヒューマン・イン・ザ・ループ」安全性を支える信頼モデルに影響する、実行可能なPoC(SSHキー埋め込みが実証)を持つ新規のクロス・ベンダー・エージェント実行攻撃クラスであり、数百万の開発者によって使用されている。ベンダー対応は分かれており、いくつかはパッチが適用されているが、一部(Augment、Windsurf)は未修正のままか、この知見に異議を唱えており、信頼されていないリポジトリをクローンしてAIアシスタントで分析する開発者マシン全体に及ぶ広い影響範囲が存在している。
悪意のあるリポジトリは、無害なファイルに偽装したシンボリック・リンク(例えば、project_settings.jsonが~/.ssh/authorized_keysを指しているもの)を含む。開発者がAIコーディング・アシスタントに「ワークスペースをセットアップして」と要求すると、エージェントはシンボリック・リンクを追跡し、攻撃者が制御するコンテンツ(例えば、SSHの公開キー)をプロジェクト・サンドボックス外の実際のターゲット・ファイルに書き込む。ユーザーに表示される確認/承認UIは、解決された機密パスではなく無害な偽装ファイル名のみを表示し、ヒューマン・イン・ザ・ループ承認をゴム判に変える。CWE-61(シンボリック・リンク追跡)とCWE-451(UI誤表示)の組み合わせである。
Amazon Q Developer(AWS用言語サーバー < 1.69.0)、Cursor(< 3.0)、Google Antigravity、Anthropic Claude Code、Augment Code、Windsurf
AWSはAWS用言語サーバー1.69.0でパッチ適用(CVE-2026-12958、CVSS 7.8)、Cursorはv3.0でパッチ適用(CVE-2026-50549、CVSS 9.8、GHSA-3v8f-48vw-3mjx)、GoogleはAntigravityを2026年5月に修正(CVE保留中)、Anthropicはn Claude Code v2.1.32にシンボリック・リンク警告を追加。Augment Codeはそれが脆弱性であることに異議を唱えており、パッチを適用していない。Windsurfの修正は保留中である。推奨される軽減策:確認プロンプトを表示する前に正規のパスを解決する、ワークスペース外の場所を標的とするアクションについて警告する、シンボリック・リンク作成/機密ファイル修正を監視する。
SC Media — GhostApproval technique leads AI coding tools to alter files outside of sandboxCybersecurity News — New GhostApproval Vulnerability Affects Amazon Q, Claude Code, Cursor, and Other AI Agents
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →