Skip to content

GhostApproval: kuue tehisintellekti-koodiabilise sümbollinkide turvaauk

Lühidalt: Kuus tehisintellektil põhinevat koodiabilist ei valideeri sümbollinke enne kirjutustoiminguid, mis võimaldab ründajatel võltsitud projektifailide abil süsteemikonfiguratsioone muuta — mõned tootjad on augu juba paikanud, teised alles tegelevad sellega.

Wizi turvauurijad avastasid kuues levinud tehisintellektipõhises programmeerimisabilises disainiviga, mis võimaldab ründajatel manipuleeritud repositooriumifailide kaudu pääseda ligi tundlikele süsteemikonfiguratsioonidele. Turvaauk kasutab ära sümbollinke, mida need tööriistad enne kirjutustoiminguid ei valideeri.

8. juulil 2026 avalikustatud turvaauk GhostApproval mõjutab Amazon Q Developerit, Claude Code’i (Anthropic), Augmenti, Cursorit, Google Antigravityt ja Windsurfi. Rünnak kasutab ära Unix-failisüsteemide omadust: abilised ei kontrolli sümbollinke enne, kui nad failidesse kirjutavad. Pahatahtlik projekt maskeerub kahjutuks konfiguratsioonifailiks, näiteks project_settings.json, kuid sümbollink suunab tegelikult tundlikele süsteemifailidele väljaspool projektikausta — näiteks failidele ~/.ssh/authorized_keys või ~/.zshrc. Niipea kui arendaja palub abilisel projekti seadistada, kirjutab süsteem pahavara või SSH-võtmed otse nendesse süsteemifailidesse.

Probleemi tuum peitub kinnitusdialoogides: need näitavad kasutajale ainult kahjutut kohalikku teed, samal ajal kui süsteem pöördub taustal tegeliku süsteemikausta poole. Claude Code’i puhul tuvastasid uurijad, et sisemine loogika tuvastas tegeliku sihtkoha küll õigesti, kuid kasutajale kuvati dialoogis vaid failinimi — tegemist on eksitamisega puuduliku teabe kaudu. Windsurfi puhul kirjutatakse andmed juba enne kinnitusteate kuvamist, mistõttu toimib kinnituspäring tegelikult vaid tagasivõtmisfunktsioonina. Augment ei kuvanud üldse mingit dialoogi ning võimaldas märkamatut lugemisjuurdepääsu AWS-i sisselogimisandmetele väljaspool projektikausta.

Tootjad on reageerinud erinevalt. Amazon Q Developer parandas vea versioonis Language Server 1.69.0 (CVE-2026-12958), Cursor versioonis 3.0 (CVE-2026-50549) ning Google uuendas Antigravityt. Augment ja Windsurf kinnitasid probleemi ja töötavad paranduste kallal. Anthropic keeldub seda turvaauguna käsitlemast ja väidab, et stsenaarium jääb „väljapoole meie ohumudelit”, kuna arendaja usaldab kausta juba niigi.

Risk ei ole ainult teoreetiline. 2026. aasta juunis kasutas uss Miasma manipuleeritud konfiguratsioonifaile Microsoft Azure’s, et käivitada pahavara niipea, kui arendajad avasid nakatunud projekti Claude Code’is, Cursoris või Geminis. Riski maandamiseks soovitatakse käitada tehisintellektiagente üksnes piiratud failiõigustega või isoleeritud konteinerites.


Allikas: www.it-daily.net · Avaldatud 9. juulil 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.3 abil.

Share on: