GhostApproval ist der Name, den Wiz einer Lücke gab, die es in mindestens sechs beliebten KI-Coding-Assistenten fand, offengelegt im Juli 2026. Kurz gesagt: ein präpariertes Repository kann deinen Coding-Agenten dazu bringen, Dateien außerhalb deines Projekts zu schreiben - und im schlimmsten Fall, bevor du auf "freigeben" klickst. Es ist eine gute Erinnerung, dass es nur so sicher ist, einen Agenten an dein Dateisystem zu lassen, wie das, was der Freigabedialog wirklich zeigt. Hier ist, was GhostApproval ist, welche Tools betroffen waren und wie du dich schützt.
Wie GhostApproval funktioniert
Der Trick kombiniert zwei alte Schwächen: das Folgen symbolischer Links (CWE-61) und eine irreführende Oberfläche (CWE-451). Ein bösartiges Repo enthält einen Symlink - eine Datei, die eigentlich ein Zeiger auf einen anderen Pfad ist. Ihr Name wirkt harmlos, etwa project_settings.json, zeigt aber auf etwas Sensibles wie ~/.ssh/authorized_keys. Du bittest den Agenten, "die Einstellungsdatei" zu bearbeiten; er folgt dem Link und schreibt ins echte Ziel - etwa indem er den SSH-Schlüssel eines Angreifers hinzufügt. Entscheidend: der Bestätigungsdialog zeigt den harmlosen Symlink-Namen, nicht das aufgelöste Ziel. Wie Wiz sagt, "der Agent wusste es, der Nutzer nicht": das Denken des Modells erkannte den gefährlichen Pfad manchmal, während der Dialog ihn verbarg.
Die gefährliche Variante: Schreiben vor der Freigabe
In manchen Tools erfolgt das Schreiben bevor der Akzeptieren/Ablehnen-Dialog überhaupt erscheint, und macht die Bestätigung zu einem Rückgängig-Button statt zu einer Schranke. Wiz beschreibt genau das in Windsurf: der SSH-Schlüssel eines Angreifers wurde in ~/.ssh/authorized_keys geschrieben, bevor der Nutzer freigeben konnte. Das ist eine Remote-Code-Ausführung vor der Autorisierung - die menschliche Kontrolle kommt, nachdem der Schaden angerichtet ist.

Welche Tools betroffen waren und ihr Status
Wiz testete sechs Assistenten und meldete in jedem eine Variante. Hier ist der offengelegte Status, neutral berichtet:
- Cursor - behoben (CVE-2026-50549, Version 3.0+).
- Amazon Q Developer - behoben (CVE-2026-12958, Language Server 1.69.0).
- Google Antigravity - behoben (im Mai 2026 ausgerollt).
- Augment - bestätigt; bei Offenlegung kein Fix ausgeliefert.
- Windsurf - bestätigt; die Vor-Autorisierungs-Variante, bei Offenlegung kein Fix ausgeliefert.
- Anthropic Claude Code - Anthropic betrachtet das Problem als außerhalb seines Bedrohungsmodells, mit der Begründung, dass ein Nutzer beim ersten Start von Claude Code bestätigt, einem Verzeichnis zu vertrauen; separat fügte Claude Code in einer früheren Version Symlink-Warnungen hinzu.
Warum es über einen Bug hinausgeht
GhostApproval ist nicht wirklich der Fehler eines einzelnen Anbieters - es ist ein Muster. Zwei Designentscheidungen verursachen es: eine flache Sandbox, die den kanonischen Pfad einer Datei nicht auflöst, bevor sie handelt, und menschliche Freigaben, die formal statt informiert sind, weil du einen Namen statt der echten Aktion freigibst. Jeder Agent mit breitem Dateisystemzugriff kann in diese Falle tappen. Es ist dieselbe Risikoklasse, die wir in unserem Leitfaden zur Sicherheit von KI-Agenten behandelt haben: Autonomie plus Zugriff bedeutet, dass eine schlechte Anweisung zu einer echten Aktion wird.
Wie du dich schützt
- Aktualisiere deine Tools jetzt. Mehrere Anbieter haben gepatcht; nutze die neueste Version deines Coding-Assistenten.
- Vertraue nur vertrauenswürdigen Repositories. Sei vorsichtig, einen Agenten in unbekannten oder frisch geklonten Repos agieren zu lassen.
- Nutze geringste Rechte. Betreibe Agenten in einem Container oder einer Sandbox, die nicht auf
~/.ssh, Cloud-Zugangsdaten oder andere Geheimnisse zugreifen kann. - Lies die Dialoge. Sei vorsichtig bei Änderungen an Konfigurationsdateien und Dotfiles und bevorzuge Tools, die Symlinks auflösen und den echten Zielpfad zeigen.
Das Fazit
GhostApproval zeigt, dass "menschliche Kontrolle" nur so stark ist wie das, was der Dialog wirklich offenbart. Ein Symlink kann einen gutmeinenden Agenten auf deine Geheimnisse lenken, und eine Bestätigung, die den echten Pfad verbirgt - oder nach dem Schreiben erscheint - gibt falsche Sicherheit. Aktualisiere deinen KI-Coding-Assistenten, beschränke, was er berühren kann, und betrachte Freigaben nur dann als sinnvoll, wenn sie dir das wahre Ziel zeigen.



