Auf den Punkt: Sechs verbreitete KI-Coding-Assistenten können durch bösartige Repositories mit versteckten Symlinks dazu gebracht werden, Dateien außerhalb ihrer Sandbox zu manipulieren, wobei Bestätigungsdialoge die tatsächliche Aktion verschleiern.
Das Sicherheitsforschungsunternehmen Wiz hat eine systematische Schwachstellenkategorie namens GhostApproval dokumentiert, die es Angreifern ermöglicht, KI-Code-Assistenten zu täuschen und sie zum Zugriff auf Dateien außerhalb ihrer Sandbox zu bewegen. Betroffen sind sechs verbreitete Tools: Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity und Windsurf (nunmehr Devin Desktop).
Die Schwachstelle nutzt Symbolic Links (Symlinks) aus – spezielle Dateien, die wie Verknüpfungen zu anderen Dateien oder Verzeichnissen fungieren. Angreifer können ein bösartiges Repository so präparieren, dass der KI-Agent auf Dateien außerhalb des Workspace zugreift und potenziell Remote Code Execution auf dem Developer-Rechner erreicht. Das Prinzip der Symlink-Ausnutzung ist seit Jahrzehnten bekannt, GhostApproval kombiniert es jedoch mit einer zusätzlichen kritischen Komponente: UI-Verschleierung (CWE-451).
Wiz beschreibt den Angriffsablauf: Der interne Reasoner des Agenten erkennt zwar intern die gefährliche Zieldatei, die dem Nutzer angezeigten Bestätigungsdialoge verschweigen diese Information jedoch vollständig. Der Entwickler genehmigt, was er für einen harmlosen lokalen Edit hält – der Agent schreibt dann in sensible Dateien außerhalb des Projekts. Unter den betroffenen Anbietern reagierte AWS durch schnelle Behebung, Cursor und Google behoben das Problem ebenfalls zeitnah. Anthropic hatte das Problem bereits vor Wiz‘ Kontakt adressiert. Augment und Windsurf/Devin bestätigten den Erhalt der Meldung, gaben dann aber keine weiteren Auskünfte.
Katie Norton, Senior Research Manager für DevSecOps bei IDC, hebt hervor, dass GhostApproval ein grundsätzlicheres Vertrauensproblem offenbart: Sicherheitsprüfungen, auf die Nutzer zum Schutz vertrauen, halten de facto nichts auf. Das Risiko konzentriert sich auf Workflows, in denen Entwickler mit externen Beiträgen, Forks oder Open-Source-Abhängigkeiten arbeiten – nicht mit intern erstelltem Code. Seit März 2025 häufen sich aber vergleichbare Schwachstellen in nahezu allen führenden KI-Coding-Assistenten, typischerweise nach dem Muster: Patch veröffentlicht, wenige Monate später Umgehung bekannt.
Laut Norton verdeutlicht GhostApproval, dass agentenbasierte Coding-Tools mehrstufige Verteidigungsmechanismen brauchen, weil das Risiko nicht nur im Code-Output liegt. Die Tools selbst sind Teil der Software-Supply-Chain und können direkt angegriffen werden. Die Schwachstelle ist kein Defizit der Code-Qualität oder unsicherer Output-Generierung, sondern ein Design-Problem: Sie liegt in der Dateibehandlung und der Darstellung von Agenten-Aktionen für den Nutzer.
Quelle: www.csoonline.com · Erschienen 10. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.