AI开发工具现GhostApproval漏洞,多家供应商受影响,行业安全引担忧! 📅 2026/7/10 13:24:22 AI开发工具安全漏洞曝光据网络安全研究公司Wiz称AI开发工具存在一个安全漏洞攻击者可借此误导流程中的人类让其在不知情的情况下批准工具的操作进而突破沙盒限制。该漏洞影响了亚马逊Amazon、安第ropicAnthropic、谷歌Google、Cursor等公司的产品会使AI向人类提供用于决策的虚假信息。Wiz的报告指出“我们发现了名为GhostApproval的系统性漏洞模式影响了六款顶级AI编码助手分别是Amazon Q Developer、Anthropic Claude Code、Augment、Cursor、Google Antigravity和Windsurf现称Devin Desktop。在每种情况下恶意存储库都可能诱使AI访问工作区沙盒之外的任意文件有可能在开发者的机器上实现远程代码执行。”本月早些时候Cato Networks首次报告了这一漏洞但当时仅局限于Cursor这一平台而Wiz发现其影响范围要广泛得多。潜在的安全问题——符号链接symlinks是一个广为人知且已被利用数十年的漏洞。不过Wiz指出GhostApproval远远超出了符号链接以往作为攻击向量的用途。符号链接是一种特殊文件可作为其他文件或目录的快捷方式。在攻击中它们通常会指向预期控制范围之外的目标使威胁行为者能够在安全沙盒甚至气隙系统之外的不受控或控制较弱的环境中操作未授权文件。Wiz指出“在某些情况下AI的内部推理明确识别出了危险目标但显示给用户的确认提示却完全隐瞒了这一信息。这是在符号链接漏洞之上叠加了CWE - 451关键信息的用户界面误表示。用户批准了他们认为无害的本地编辑操作而AI随后却写入了项目工作区之外的敏感文件。”Wiz表示已将该问题报告给最初受影响的六家供应商。其中亚马逊云服务AWS、Cursor和谷歌迅速修复了问题Augment和Windsurf/Devin确认收到报告但之后没了消息安第ropic在Wiz联系之前就已解决了该问题。潜在的巨大风险分析师和顾问认为Wiz所描述的AI开发工具问题揭示了一个更大的安全风险企业对这些工具及其报告的信息过于信任这可能会给攻击者带来可乘之机。国际数据公司IDCDevSecOps高级研究经理凯蒂·诺顿Katie Norton指出Wiz的报告揭示了一个令人担忧的事实。她表示“人们依赖的用于阻止此类操作的安全检查实际上毫无作用这是攻击者入侵开发者机器的一个切实途径。不过攻击范围受一个条件限制攻击需要开发者克隆并操作不可信或恶意的存储库。这就将风险集中在涉及外部贡献者、分叉存储库以及第三方或开源依赖项的工作流程中而非内部编写的代码。”诺顿称这个漏洞以及其他AI开发工具中类似漏洞所带来的风险可能是巨大的。“自2025年3月以来安全供应商和研究人员几乎在每一款主流AI编码助手中都披露了类似问题。通常的情况是修复措施推出后几个月内就会出现绕过该修复的新方法。这值得关注也反映出整个AI开发工具领域的威胁模型仍处于起步阶段并非某一家供应商的个别问题。”她认为智能编码工具需要多层防御因为风险不仅局限于AI生成的代码。“这些工具本身处于软件供应链中可能会受到直接攻击GhostApproval就清楚地说明了这一点。该漏洞与代码质量或不安全的输出无关而是AI在处理文件以及向用户展示自身操作方式上的缺陷这是由工具设计导致的而非恶意提示或受感染的依赖项。如果不考虑编码工具自身的攻击面这类漏洞就会一直存在。”重新审视政策和流程数字520Digital 520首席顾问诺亚·肯尼Noah Kenney也认同这一观点他认为企业的首席信息安全官CISO可能需要重新审视许多AI开发工具的政策和流程。肯尼表示“关键在于AI自身的推理已经识别出了恶意目标但批准对话框却依然隐瞒了这一信息。工具明明知道自己在写入SSH密钥却仍让人类批准对配置文件的编辑给人类一种可以控制模型的错觉。很多人认为让人类参与流程是解决AI风险的办法但这份报告表明流程中的人类可能会被本应受其监督的AI提供的错误信息误导。”因此肯尼建议调整工具管理方式。“应将AI编码助手视为具有文件系统访问权限的特权软件而非编辑器插件。这意味着要严格进行补丁管理、锁定版本并且了解环境中哪些工具会在授权前写入磁盘。然后限制攻击范围让这些AI在隔离环境中对可信存储库进行操作这样即使写入授权密钥也不会造成危害。不要依赖工具自身的对话框来进行控制或治理。”全行业的设计问题咨询公司Acceligence的首席执行官贾斯汀·格里斯Justin Greis补充说这个安全漏洞所带来的企业安全战略问题比大多数CISO意识到的要严重得多。他指出“六家不同的供应商独立采用了非常相似的信任模型这表明我们面临的是一个全行业的设计挑战而非一系列孤立的实现漏洞。如果此类漏洞得不到修复将给企业带来重大风险特别是对于那些允许AI编码助手与不可信存储库或生产开发环境进行交互的组织。”“当前的紧迫问题不仅仅是远程代码执行更在于这些AI在操作时拥有传统集成开发环境IDE扩展所没有的文件系统访问权限、工具访问权限以及开发者的信任。一旦AI成为软件开发的积极参与者它所跨越的每一个信任边界都会成为组织攻击面的一部分。”