Auf den Punkt: Sechs verbreitete KI-Codierassistenten (Amazon Q Developer, Claude Code, Augment, Cursor, Google Antigravity, Windsurf) können durch Symlink-Exploits in GhostApproval-genannten Angriffsszenarien unbemerkt Code auf Entwickler-Systemen ausführen.
Forscher von Wiz haben Symlink-Anfälligkeit in sechs populären KI-Codierassistenten nachgewiesen, die es attacker ermöglicht, Code in einem scheinbar harmlosen Projekt auszuführen — das System fragt zur Berechtigung eines ungefährlichen Eingriffs, schreibt aber tatsächlich in sensible Dateien.
Wiz-Forscher identifizierten eine systematische Schwachstelle in der Handhabung von Datei-Schreiboperationen in sechs weit verbreiteten KI-Codierassistenten. Das Angriffsmodell exploitiert Symlink-Mechanismen (symbolische Links): Der Agent erhält eine manipulierte Code-Repository mit präparierten Symlinks und wird angewiesen, scheinbar harmlose Dateien zu bearbeiten. Das System präsentiert eine Berechtigungsabfrage für diese ungefährliche Operation, während die tatsächliche Schreiboperation durch den Symlink umgelenkt wird — das Ziel ist eine sensible oder sicherheitskritische Datei im System des Entwicklers.
Betroffen sind Amazon Q Developer, Anthropic’s Claude Code, Augment, Cursor, Google Antigravity und Windsurf. Diese Tools werden zunehmend in Entwicklungs-Workflows integriert und erhalten dadurch Schreib- und Ausführungsprivilegien auf den Rechnern von Ingenieuren. Ein erfolgreicher Symlink-Angriff könnte Malware in Konfigurationsdateien, Build-Skripte oder Systemabhängigkeiten einschleusen und damit den Rechner des Entwicklers persistiert kompromittieren.
Für CISOs ist die Lücke kritisch: Sie adressiert die wachsende Supply-Chain-Oberflächenattacke durch automatisierte Entwicklungswerkzeuge. Ein Entwickler, der ein infiziertes Repository klont und einen KI-Assistenten nutzt, wird zum unwillkürlichen Vehikel für eine Systemeindringung. Die Lücke zeigt, dass typische Berechtigungsmodelle — Präsentation verdächtiger Änderungen vor Zustimmung — bei Symlink-Umleitung scheitern. Organisationen sollten KI-Coding-Tools restriktiven Datei-Schreibrechten unterwerfen und Repositories vor Nutzung auf verdächtige Symlinks überprüfen.
Quelle: thehackernews.com · Erschienen 9. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.