alexi.sh
Alle ArtikelBrowser-SicherheitNetzwerk-PrivatsphäreDatenschutz-ToolsBedrohungsmodellierungKI-ProgrammierungDev-Tools

alexi.shAI Engineering Lab

ai-coding

GhostApproval: die KI-Coding-Assistenten-Lücke, die Dateien ohne deine Zustimmung schreibt (2026)

PrivSec Lab3 Min. Lesezeit
Ein Code-Editor auf einem Laptop-Bildschirm in einem dunklen Raum

Wiz enthüllte GhostApproval, eine Vertrauensgrenzen-Lücke in mindestens sechs KI-Coding-Assistenten: ein bösartiges Repository kann den Agenten dazu bringen, per Symlink außerhalb deines Projekts zu schreiben, manchmal vor deiner Zustimmung. Was es ist, welche Tools betroffen waren und wie du dich schützt.

GhostApproval ist der Name, den Wiz einer Lücke gab, die es in mindestens sechs beliebten KI-Coding-Assistenten fand, offengelegt im Juli 2026. Kurz gesagt: ein präpariertes Repository kann deinen Coding-Agenten dazu bringen, Dateien außerhalb deines Projekts zu schreiben - und im schlimmsten Fall, bevor du auf "freigeben" klickst. Es ist eine gute Erinnerung, dass es nur so sicher ist, einen Agenten an dein Dateisystem zu lassen, wie das, was der Freigabedialog wirklich zeigt. Hier ist, was GhostApproval ist, welche Tools betroffen waren und wie du dich schützt.

Wie GhostApproval funktioniert

Der Trick kombiniert zwei alte Schwächen: das Folgen symbolischer Links (CWE-61) und eine irreführende Oberfläche (CWE-451). Ein bösartiges Repo enthält einen Symlink - eine Datei, die eigentlich ein Zeiger auf einen anderen Pfad ist. Ihr Name wirkt harmlos, etwa project_settings.json, zeigt aber auf etwas Sensibles wie ~/.ssh/authorized_keys. Du bittest den Agenten, "die Einstellungsdatei" zu bearbeiten; er folgt dem Link und schreibt ins echte Ziel - etwa indem er den SSH-Schlüssel eines Angreifers hinzufügt. Entscheidend: der Bestätigungsdialog zeigt den harmlosen Symlink-Namen, nicht das aufgelöste Ziel. Wie Wiz sagt, "der Agent wusste es, der Nutzer nicht": das Denken des Modells erkannte den gefährlichen Pfad manchmal, während der Dialog ihn verbarg.

Die gefährliche Variante: Schreiben vor der Freigabe

In manchen Tools erfolgt das Schreiben bevor der Akzeptieren/Ablehnen-Dialog überhaupt erscheint, und macht die Bestätigung zu einem Rückgängig-Button statt zu einer Schranke. Wiz beschreibt genau das in Windsurf: der SSH-Schlüssel eines Angreifers wurde in ~/.ssh/authorized_keys geschrieben, bevor der Nutzer freigeben konnte. Das ist eine Remote-Code-Ausführung vor der Autorisierung - die menschliche Kontrolle kommt, nachdem der Schaden angerichtet ist.

Ein Terminal listet Dateien über einer beleuchteten Tastatur - GhostApproval missbraucht eine per Symlink verknüpfte Datei, um außerhalb des Ordners zu schreiben, den du zu bearbeiten glaubst.

Welche Tools betroffen waren und ihr Status

Wiz testete sechs Assistenten und meldete in jedem eine Variante. Hier ist der offengelegte Status, neutral berichtet:

  • Cursor - behoben (CVE-2026-50549, Version 3.0+).
  • Amazon Q Developer - behoben (CVE-2026-12958, Language Server 1.69.0).
  • Google Antigravity - behoben (im Mai 2026 ausgerollt).
  • Augment - bestätigt; bei Offenlegung kein Fix ausgeliefert.
  • Windsurf - bestätigt; die Vor-Autorisierungs-Variante, bei Offenlegung kein Fix ausgeliefert.
  • Anthropic Claude Code - Anthropic betrachtet das Problem als außerhalb seines Bedrohungsmodells, mit der Begründung, dass ein Nutzer beim ersten Start von Claude Code bestätigt, einem Verzeichnis zu vertrauen; separat fügte Claude Code in einer früheren Version Symlink-Warnungen hinzu.

Warum es über einen Bug hinausgeht

GhostApproval ist nicht wirklich der Fehler eines einzelnen Anbieters - es ist ein Muster. Zwei Designentscheidungen verursachen es: eine flache Sandbox, die den kanonischen Pfad einer Datei nicht auflöst, bevor sie handelt, und menschliche Freigaben, die formal statt informiert sind, weil du einen Namen statt der echten Aktion freigibst. Jeder Agent mit breitem Dateisystemzugriff kann in diese Falle tappen. Es ist dieselbe Risikoklasse, die wir in unserem Leitfaden zur Sicherheit von KI-Agenten behandelt haben: Autonomie plus Zugriff bedeutet, dass eine schlechte Anweisung zu einer echten Aktion wird.

Wie du dich schützt

  • Aktualisiere deine Tools jetzt. Mehrere Anbieter haben gepatcht; nutze die neueste Version deines Coding-Assistenten.
  • Vertraue nur vertrauenswürdigen Repositories. Sei vorsichtig, einen Agenten in unbekannten oder frisch geklonten Repos agieren zu lassen.
  • Nutze geringste Rechte. Betreibe Agenten in einem Container oder einer Sandbox, die nicht auf ~/.ssh, Cloud-Zugangsdaten oder andere Geheimnisse zugreifen kann.
  • Lies die Dialoge. Sei vorsichtig bei Änderungen an Konfigurationsdateien und Dotfiles und bevorzuge Tools, die Symlinks auflösen und den echten Zielpfad zeigen.

Das Fazit

GhostApproval zeigt, dass "menschliche Kontrolle" nur so stark ist wie das, was der Dialog wirklich offenbart. Ein Symlink kann einen gutmeinenden Agenten auf deine Geheimnisse lenken, und eine Bestätigung, die den echten Pfad verbirgt - oder nach dem Schreiben erscheint - gibt falsche Sicherheit. Aktualisiere deinen KI-Coding-Assistenten, beschränke, was er berühren kann, und betrachte Freigaben nur dann als sinnvoll, wenn sie dir das wahre Ziel zeigen.

Photo: Pexels (source)

Auch verfügbar in

FAQ

Was ist GhostApproval?
GhostApproval ist ein Sicherheitsmuster, das Forscher von Wiz in mindestens sechs KI-Coding-Assistenten fanden, offengelegt im Juli 2026. Ein bösartiges Repository enthält einen symbolischen Link (Symlink) mit harmlosem Namen, der aber auf eine sensible Datei außerhalb deines Projekts zeigt - etwa eine Datei namens project_settings.json, die in Wirklichkeit auf ~/.ssh/authorized_keys zeigt. Wenn du den Agenten bittest, diese Datei zu bearbeiten, folgt er dem Link und schreibt ins echte Ziel, während der Freigabedialog nur den harmlosen Namen zeigt. Wiz fasste es so zusammen: der Agent wusste es, der Nutzer nicht.
Ist GhostApproval behoben?
Teilweise. Wiz meldete es an sechs Anbieter. Laut Wiz haben Cursor (CVE-2026-50549, Version 3.0+), Amazon Q Developer (CVE-2026-12958, Language Server 1.69.0) und Google Antigravity Fixes ausgeliefert. Augment und Windsurf bestätigten den Bericht, hatten aber zum Zeitpunkt der Offenlegung keinen Fix ausgeliefert. Anthropic betrachtet das Problem als außerhalb seines Bedrohungsmodells, mit der Begründung, dass der Nutzer beim Start von Claude Code bestätigt, einem Verzeichnis zu vertrauen; separat fügte Claude Code in einer früheren Version proaktive Symlink-Warnungen hinzu. Praktisch heißt das: aktualisiere deine Tools.
Welche KI-Coding-Assistenten waren betroffen?
Wiz testete sechs und fand in jedem eine Variante: Cursor, Amazon Q Developer, Google Antigravity, Augment, Windsurf und Anthropic Claude Code. Der Schweregrad reichte je nach Tool von einem behebbaren Oberflächenproblem bis zu einer Remote-Code-Ausführung vor der Autorisierung. Die Anbieterreaktionen unterscheiden sich, also gehe davon aus, dass jeder Coding-Agent mit breitem Dateisystemzugriff für Symlink-basierte Pfad-Ausbrüche anfällig sein kann, sofern er den echten Zielpfad nicht auflöst und anzeigt.
Kann GhostApproval Code auf meiner Maschine ausführen?
In den schlimmsten Varianten praktisch ja. Indem ein vom Angreifer kontrollierter SSH-Schlüssel in ~/.ssh/authorized_keys geschrieben wird, kann ein Angreifer Fernzugriff auf die Maschine des Entwicklers erlangen, was praktisch eine Remote-Code-Ausführung ist. Wiz beschrieb den schwersten Fall (in Windsurf) als RCE vor der Autorisierung, weil die Datei geschrieben wurde, bevor die Buttons Akzeptieren oder Ablehnen überhaupt erschienen - die Bestätigung wirkte also als Rückgängig, nicht als Schranke.
Wie schütze ich mich vor GhostApproval?
Aktualisiere deinen KI-Coding-Assistenten auf die neueste Version, da mehrere Anbieter gepatcht haben. Lass einen Agenten nur in Repositories agieren, denen du vertraust, und sei vorsichtig beim Öffnen unbekannter Repos. Betreibe Agenten mit geringsten Rechten - idealerweise in einem Container oder einer Sandbox, die nicht auf ~/.ssh, Cloud-Zugangsdaten oder andere Geheimnisse zugreifen kann. Lies Freigabedialoge sorgfältig, besonders Änderungen an Konfigurationsdateien oder Dotfiles, und bevorzuge Tools, die Symlinks auflösen und den echten Zielpfad anzeigen.