GhostApproval è il nome che Wiz ha dato a una falla trovata in almeno sei popolari assistenti di codice IA, rivelata a luglio 2026. In breve: un repository trappola può indurre il tuo agente di codice a scrivere file fuori dal tuo progetto - e, nei casi peggiori, prima ancora che tu clicchi "approva". È un buon promemoria che lasciare che un agente tocchi il tuo filesystem è sicuro solo quanto ciò che la finestra di approvazione mostra davvero. Ecco cos'è GhostApproval, quali strumenti sono stati colpiti e come proteggerti.
Come funziona GhostApproval
Il trucco combina due vecchie debolezze: seguire i link simbolici (CWE-61) e un'interfaccia ingannevole (CWE-451). Un repo malevolo contiene un symlink - un file che in realtà è un puntatore a un altro percorso. Il suo nome sembra innocuo, diciamo project_settings.json, ma punta a qualcosa di sensibile come ~/.ssh/authorized_keys. Chiedi all'agente di modificare "il file delle impostazioni"; segue il link e scrive nella vera destinazione - per esempio aggiungendo la chiave SSH di un attaccante. Il punto chiave: la finestra di conferma mostra il nome innocuo del symlink, non la destinazione risolta. Come dice Wiz, "l'agente lo sapeva, l'utente no": il ragionamento del modello a volte riconosceva il percorso pericoloso mentre la finestra lo nascondeva.
La variante pericolosa: scrive prima che tu approvi
In alcuni strumenti la scrittura avviene prima che compaia la finestra Accetta/Rifiuta, trasformando la conferma in un pulsante di annullamento invece che in una barriera. Wiz descrive esattamente questo in Windsurf: la chiave SSH di un attaccante veniva scritta in ~/.ssh/authorized_keys prima che l'utente potesse approvare. È un'esecuzione di codice remoto prima dell'autorizzazione - il controllo umano arriva dopo che il danno è fatto.

Quali strumenti sono stati colpiti e il loro stato
Wiz ha testato sei assistenti e ha segnalato una variante in ciascuno. Ecco lo stato divulgato, riportato in modo neutrale:
- Cursor - corretto (CVE-2026-50549, versione 3.0+).
- Amazon Q Developer - corretto (CVE-2026-12958, language server 1.69.0).
- Google Antigravity - corretto (rilasciato a maggio 2026).
- Augment - confermato; nessuna patch al momento della divulgazione.
- Windsurf - confermato; la variante prima dell'autorizzazione, nessuna patch al momento della divulgazione.
- Anthropic Claude Code - Anthropic considera il problema fuori dal proprio modello di minaccia, sulla base del fatto che l'utente conferma di fidarsi di una cartella al primo avvio di Claude Code; separatamente, Claude Code ha aggiunto avvisi sui symlink in una versione precedente.
Perché conta oltre un singolo bug
GhostApproval non è davvero l'errore di un solo fornitore - è uno schema. Due scelte di progettazione lo causano: una sandbox superficiale che non risolve il percorso canonico di un file prima di agire, e approvazioni umane formali anziché informate, perché approvi un nome invece dell'azione reale. Qualsiasi agente con ampio accesso al filesystem può cadere in questa trappola. È la stessa classe di rischio che abbiamo trattato nella nostra guida alla sicurezza degli agenti IA: autonomia più accesso significa che una cattiva istruzione diventa un'azione reale.
Come proteggerti
- Aggiorna subito i tuoi strumenti. Diversi fornitori l'hanno corretto; usa l'ultima versione del tuo assistente di codice.
- Fidati solo di repository fidati. Fai attenzione a lasciare che un agente agisca in repo sconosciuti o appena clonati.
- Usa il minimo privilegio. Esegui gli agenti in un container o sandbox che non possa raggiungere
~/.ssh, le tue credenziali cloud o altri segreti. - Leggi le finestre. Fai attenzione alle modifiche a file di configurazione e dotfile, e prediligi strumenti che risolvono i symlink e mostrano il vero percorso di destinazione.
In sintesi
GhostApproval mostra che il "controllo umano" vale solo quanto ciò che la finestra rivela davvero. Un symlink può indirizzare un agente ben intenzionato verso i tuoi segreti, e una conferma che nasconde il vero percorso - o compare dopo la scrittura - dà un falso conforto. Aggiorna il tuo assistente di codice IA, limita ciò che può toccare, e considera le approvazioni utili solo quando ti mostrano la vera destinazione.



