技术说明
Adversa AI披露了SymJack,这是一种新的代理攻击类型,恶意仓库包含一个伪装的符号链接,重命名后看起来无害。使用cp命令静默地将有效载荷插入到代理的配置中,注册恶意MCP服务器。开发者的批准提示只显示一个看似无害的文件复制请求——没有提及配置目录或可执行内容。在下次代理重启时,植入的服务器会生成并以用户身份运行攻击者代码,不受沙盒限制。该攻击已在Claude Code、Cursor、Gemini CLI (Antigravity CLI)、GitHub Copilot CLI和Grok Build CLI中得到确认。
攻击途径
攻击者控制一个编程代理仓库(或依赖仓库)。特制的指令文件包含一个cp命令,将伪装的符号链接解析到代理的MCP配置目录中。开发者批准这个看似无害的请求;代理在没有进一步提示的情况下安装恶意MCP服务器配置。在CI流水线中,爆炸半径扩展到运行器可访问的所有秘密、令牌和OIDC凭证——实现无需进一步用户交互的供应链攻击。
受影响系统
披露时确认所有五个主要AI编程代理CLI都受到影响:Claude Code (Anthropic)、Cursor Agent CLI、Gemini CLI / Antigravity CLI (Google)、GitHub Copilot CLI、Grok Build CLI (xAI)。Anthropic随后加固了Claude Code,在显示批准提示之前解析符号链接。在SecurityWeek报道时,Cursor、Google、xAI和GitHub尚未完全修复。
缓解措施
对于Claude Code:更新到在批准提示之前解析符号链接的版本。对于所有其他代理:将代理生成指令中的每个cp或文件移动命令视为潜在危险,在批准之前检查真实目标路径。组织应要求签名的工具清单并限制代理对配置目录的访问。CI流水线应在具有最小秘密访问权限的隔离环境中运行。