Auf den Punkt: Sechs KI-Codeassistenten validieren Symlinks nicht vor Schreibvorgängen, was Angreifern ermöglicht, über gefälschte Projektdateien Systemkonfigurationen zu manipulieren — einige Hersteller haben bereits gepatchet, andere arbeiten noch daran.
Sicherheitsforscher von Wiz haben eine Designschwäche in sechs verbreiteten KI-Programmierassistenten aufgedeckt, die es Angreifern ermöglicht, über manipulierte Repository-Dateien auf sensible Systemkonfigurationen zuzugreifen. Die Schwachstelle nutzt Symlinks aus, die von den Tools vor Schreiboperationen nicht validiert werden.
Die am 8. Juli 2026 veröffentlichte Schwachstelle GhostApproval betrifft Amazon Q Developer, Claude Code (Anthropic), Augment, Cursor, Google Antigravity und Windsurf. Der Angriff exploitet eine Eigenschaft von Unix-Dateisystemen: Symlinks werden von den Assistenten nicht überprüft, bevor sie auf Dateien schreiben. Ein schädliches Projekt tarnt sich als harmlose Konfigurationsdatei wie project_settings.json, verweist jedoch über den Symlink auf sensible Systemdateien außerhalb des Projektordners — etwa ~/.ssh/authorized_keys oder ~/.zshrc. Sobald der Entwickler den Assistenten auffordert, das Projekt einzurichten, schreibt das System Schadcode oder SSH-Schlüssel direkt in diese Systemdateien.
Das Kernproblem liegt in den Freigabedialog-Fenstern: Sie zeigen dem Nutzer nur den harmlosen lokalen Pfad an, während das System im Hintergrund auf den realen Systemordner zugreift. Bei Claude Code erkannten Forscher, dass die interne Logik den tatsächlichen Bestimmungsort korrekt identifizierte, dem Nutzer im Dialog aber nur der Dateiname präsentiert wurde — eine Täuschung durch unvollständige Informationen. Bei Windsurf werden Daten bereits vor der Bestätigungsmeldung geschrieben, sodass die Eingabeaufforderung nur noch als Rückgängig-Funktion fungiert. Augment zeigte gar keinen Dialog und ermöglichte unbemerkt Lesezugriffe auf AWS-Anmeldedaten außerhalb des Projektverzeichnisses.
Die Hersteller reagieren unterschiedlich. Amazon Q Developer behob den Fehler in Language Server 1.69.0 unter CVE-2026-12958, Cursor in Version 3.0 unter CVE-2026-50549, und Google aktualisierte Antigravity. Augment und Windsurf bestätigten das Problem und arbeiten an Fixes. Anthropic lehnt die Einstufung als Sicherheitslücke ab und argumentiert, das Szenario liege „außerhalb unseres Bedrohungsmodells“, da der Entwickler dem Ordner bereits vertraue.
Das Risiko ist nicht theoretisch. Im Juni 2026 nutzte der Miasma-Wurm manipulierte Konfigurationsdateien in Microsoft Azure, um Schadcode auszuführen, sobald Entwickler das infizierte Projekt in Claude Code, Cursor oder Gemini öffneten. Zur Mitigation wird empfohlen, KI-Agenten nur mit eingeschränkten Dateizugriffsrechten oder in isolierten Containern zu betreiben.
Quelle: www.it-daily.net · Erschienen 9. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.