事件经过
Wiz研究人员披露(Wiz博客,由SC Media/GBHackers/TheHackerNews/Cyber Security News于2026-07-08报告)一个系统性符号链接追踪信任边界缺陷,影响六个使用最广泛的AI编码助手,允许恶意仓库欺骗代理读取或写入其预期工作区之外的文件,包括植入SSH密钥以实现持久远程访问。
影响分析
这是一个新颖的跨厂商代理执行攻击类别,具有有效的PoC(已演示SSH密钥植入),影响了为数百万开发者使用的六个主要AI编码代理的"人工循环"安全模型的信任基础。厂商的反应参差不齐——有些已修补,有些(Augment、Windsurf)仍未修复或对该发现提出异议——在克隆和使用AI助手分析不受信任仓库的开发者机器上留下了广泛的影响范围。
攻击途径
恶意仓库包含一个伪装成无害文件的符号链接(例如,project_settings.json指向~/.ssh/authorized_keys)。当开发者要求其AI编码助手"设置工作区"时,代理会跟随符号链接并将攻击者控制的内容(例如SSH公钥)写入项目沙箱外的真实目标文件。显示给用户的确认/批准UI仅显示无害的诱饵文件名,而不是解析的敏感路径,使人工循环批准成为橡皮图章——CWE-61(符号链接追踪)与CWE-451(UI误表示)的组合。
受影响系统
Amazon Q Developer(AWS语言服务器 < 1.69.0)、Cursor(< 3.0)、Google Antigravity、Anthropic Claude Code、Augment Code、Windsurf
缓解措施
AWS通过AWS语言服务器1.69.0进行修补(CVE-2026-12958、CVSS 7.8);Cursor在v3.0中修补(CVE-2026-50549、CVSS 9.8、GHSA-3v8f-48vw-3mjx);Google在2026年5月修复了Antigravity(CVE待定);Anthropic在Claude Code v2.1.32中添加了符号链接警告。Augment Code声称这不是漏洞且尚未修补;Windsurf的修复仍在进行中。建议的缓解措施:在显示确认提示前解析规范路径,在操作针对工作区外位置时发出警告,以及监控符号链接创建/敏感文件修改。