Skip to content

GhostApproval: kuus tehisintellekti koodiassistenti mõjutab sümbolviite abil sandbox’ist väljumine

Lühidalt: Kuut levinud tehisintellektipõhist koodiassistenti saab pahatahtlike varjatud sümbolviitadega repositooriumide abil panna sandbox’ist väljaspool asuvaid faile manipuleerima, kusjuures kinnitusdialoogid varjavad tegelikku toimingut.

Turvauuringute ettevõte Wiz dokumenteeris süstemaatilise haavatavuste kategooria nimega GhostApproval, mis võimaldab ründajatel tehisintellektipõhiseid koodiassistente petta ja panna neid ligi pääsema failidele väljaspool oma sandbox’i. Mõjutatud on kuus levinud tööriista: Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity ja Windsurf (nüüdne Devin Desktop).

Haavatavus kasutab ära sümbolviiteid (symlinks) – erifaile, mis toimivad viidetena teistele failidele või kataloogidele. Ründajad saavad koostada pahatahtliku repositooriumi selliselt, et tehisintellekti agent pääseb ligi failidele väljaspool töökeskkonda ja saavutab potentsiaalselt kaugkäivitatava koodi täitmise arendaja arvutis. Sümbolviidete ärakasutamise põhimõte on tuntud juba aastakümneid, kuid GhostApproval kombineerib selle täiendava kriitilise komponendiga: kasutajaliidese moonutamisega (CWE-451).

Wiz kirjeldab ründe kulgu järgmiselt: kuigi agendi sisemine arutlusmehhanism tuvastab ohtliku sihtfaili, jäetakse see teave kasutajale kuvatavatest kinnitusdialoogidest täielikult välja. Arendaja kiidab heaks toimingu, mida ta peab kahjutuks kohalikuks muudatuseks – tegelikult kirjutab agent aga tundlikesse failidesse väljaspool projekti. Mõjutatud tarnijate seas reageeris AWS kiirelt probleemi lahendades, ka Cursor ja Google parandasid vea kiiresti. Anthropic oli probleemi lahendanud juba enne Wizi ühendust võtmist. Augment ja Windsurf/Devin kinnitasid teate kättesaamist, kuid ei andnud hiljem täiendavat teavet.

IDC vanemuuringute juht DevSecOpsi valdkonnas Katie Norton rõhutab, et GhostApproval paljastab põhimõttelisema usaldusprobleemi: turvakontrollid, millele kasutajad kaitse mõttes loodavad, ei takista tegelikkuses praktiliselt midagi. Risk koondub töövoogudesse, kus arendajad tegelevad väliste panuste, harude (fork’ide) või avatud lähtekoodiga sõltuvustega – mitte ettevõttesiseselt loodud koodiga. Alates 2025. aasta märtsist on aga sarnaseid haavatavusi kogunenud peaaegu kõigis juhtivates tehisintellektipõhistes koodiassistentides, tüüpiliselt järgmise mustri kohaselt: paik avaldatakse, mõne kuu pärast selgub selle möödahiilimise võimalus.

Nortoni sõnul näitab GhostApproval selgelt, et agendipõhised koodiassistendid vajavad mitmetasandilisi kaitsemehhanisme, kuna risk ei peitu ainult koodi väljundis. Tööriistad ise on osa tarkvara tarneahelast ja neid saab otseselt rünnata. Haavatavus ei ole koodi kvaliteedi puudujääk ega ebaturvalise väljundi genereerimise probleem, vaid disainiprobleem: see peitub failide käsitlemises ja agendi tegevuste kasutajale kuvamise viisis.


Allikas: www.csoonline.com · Avaldatud 10. juulil 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.3 kaudu.

Share on: