六款AI编程助手栽在符号链接

开发者点下“同意修改”时,屏幕上看到的是一个项目配置文件。实际被改掉的,可能是自己电脑上的 SSH 登录文件。

Wiz 7 月 8 日公开的 GhostApproval,把 AI 编程工具的一个尴尬边界摊开了:这不是模型胡说,也不是提示词注入,而是一个老 Unix 技巧钻进了新一代 coding agent 的确认框。人还在审批流程里,但人看到的信息不完整。

它骗的不是模型,是确认框

攻击链并不复杂。攻击者在仓库里放一个看似普通的 project_settings.json,实际它是符号链接,指向用户目录外的敏感文件,比如 ~/.ssh/authorized_keys~/.zshrc。README 再写一句“请按说明更新配置”。

开发者克隆仓库后,让 AI 助手“设置项目”或“照 README 处理”。助手读取说明,准备写入配置。问题发生在这一步:有些工具会跟随符号链接,把内容写到真实目标;有些确认框只显示项目里的假文件名,没有告诉用户写入位置已经越过工作区。

“The Human-in-the-Loop becomes a rubber stamp.”

Wiz 的意思很直白:如果确认框没有显示真实目标,人类审批就只剩形式。

这个细节和上个月 Agentjacking 不一样。Agentjacking 借 Sentry 假报错把恶意指令塞进 AI 的上下文,GhostApproval 则更底层:它利用的是文件系统路径和 UI 展示之间的错位。模型不需要“相信黑客”,只要按正常文件写入流程走,就可能越界。

六个工具给出六种答案

Wiz 测了六款主流 AI 编程助手:Amazon Q Developer、Anthropic Claude Code、Augment、Cursor、Google Antigravity 和 Windsurf。结果不是单点失误,而是一组相似的信任边界漏洞。

几个数字能说明风险层级:

  • Amazon Q Developer 相关问题进入 CVE-2026-12958,AWS 要求 Language Servers for AWS 升到 1.69.0
  • Cursor 的 CVE-2026-50549 影响 3.0 之前版本,公开 CVE 记录给出 CVSS 4.0 9.3 的 Critical 评级;
  • Google Antigravity 已修复,CVE 仍在评估;
  • Wiz 披露时,Augment 和 Windsurf 仍没有给出完整修复路径。

最刺眼的是 Windsurf 的变体。Wiz 称它在显示 Accept / Reject 之前就已经把文件写进磁盘,确认框不再是门闸,而像事后撤销按钮。Augment 的情况也重:研究演示里,它可以跟随符号链接读取工作区外的假 AWS 凭据文件,还能无确认写入 shell 启动文件。

Anthropic 的回应则把争议推到“责任边界”。Claude Code 起初认为用户已经信任目录,也批准了操作;但反方观点是,批准必须建立在准确展示上。如果窗口写着本地配置文件,实际目标却是 SSH key,用户并没有获得可判断的信息。

企业要查的不是一个按钮

这类漏洞对企业的提醒,比“赶紧升级某个插件”更宽。

AI 编程助手已经不只是补全代码。它们能读仓库、写文件、跑命令、装依赖、接 MCP server,有些还被放进 CI、云开发环境和内网机器。传统安全策略常把“用户点击同意”当成责任分界线,但 agent 的动作链更长,窗口里的一行文件名不够用了。

**要收紧的是工作区边界。**开发团队至少要做三件事:不让 agent 直接处理来历不明的仓库;在审批框里要求展示解析后的真实路径;把 authorized_keys、shell 启动文件、AI 工具配置和凭据目录纳入变更监控。

对已经用 Amazon Q 或 Cursor 的团队,版本检查有明确答案:AWS Language Servers for AWS 至少到 1.69.0,Cursor 至少到 3.0。对 Windsurf、Augment 这类仍存在处置争议的工具,更稳的做法是在隔离容器或一次性开发环境里处理陌生项目。

后续看补丁,也看默认权限

Wiz 和多家媒体都写到,目前没有证据显示 GhostApproval 已被在野利用。这个限定很重要,它说明事件还处在研究披露与补丁窗口,而不是已确认攻击潮。

但它暴露的方向不会消失:AI agent 正在把“读懂项目、按说明行动”变成默认能力,安全边界却还停留在“用户会看清楚再点同意”。当确认框只展示表面路径,权限模型就会比开发者以为的更松。

下一轮可验证指标很明确:更多厂商是否把真实路径、符号链接、工作区外写入做成默认拦截;企业安全产品是否能识别 agent 进程改动敏感文件;以及 AI 编程工具会不会把“信任目录”从一次性点击,改成按仓库、文件和动作分级授权。

AI 写代码的速度已经上来了。现在要补的是,谁能看清它到底在替谁改文件。

参考来源:Wiz 官方研究、AWS 安全公告、SC Media、CocoLoop、The Register,Cursor/GitHub CVE 记录核验 CVE-2026-50549、3.0 前版本影响范围与 CVSS 4.0 评级;SC Media、The Register 核验供应商回应、补丁状态、无在野利用表述与企业风险背景。