Fehler in KI-Codierungsassistenten

GhostApproval gefährdet Entwickler-PCs

KI

Eine als GhostApproval bekannte Schwachstelle in sechs KI-Programmierassistenten ermöglicht es schädlichen Repositories, fremde PCs zu kapern.

Sicherheitsforscher des IT-Sicherheitsunternehmens Wiz haben eine Designschwäche in sechs weit verbreiteten KI-Programmierassistenten aufgedeckt. Die am 8. Juli 2026 veröffentlichte Schwachstellen-Kombination trägt den Namen GhostApproval. Betroffen sind die Werkzeuge Amazon Q Developer, Claude Code von Anthropic, Augment, Cursor, Google Antigravity und Windsurf. Der Angriff nutzt eine jahrzehntealte Eigenschaft von Unix-Dateisystemen aus, die sogenannten symbolischen Verknüpfungen oder Symlinks, welche von den Assistenten vor dem Schreibvorgang nicht überprüft werden.

Anzeige

Ein schädliches Software-Projekt imitiert dabei eine harmlose lokale Konfigurationsdatei wie project_settings.json, verweist über den Symlink jedoch insgeheim auf sensible Systemdateien außerhalb des Projektordners. Dies können die SSH-Schlüsselkonfiguration unter ~/.ssh/authorized_keys oder Startdateien der Kommandozeile wie ~/.zshrc sein. Wenn der Entwickler den Assistenten anweist, das Projekt gemäß der Dokumentation einzurichten, schreibt das System den Schadcode oder die SSH-Schlüssel des Angreifers direkt in diese Systemdateien.

Täuschung des Nutzers bei Freigabedialogen

Das primäre Problem der Schwachstelle liegt in den Bestätigungsfenstern der KI-Werkzeuge, die falsche Informationen anzeigen. Die Benutzeroberfläche präsentiert dem Entwickler lediglich den harmlosen lokalen Pfad, obwohl das System im Hintergrund den realen Systemordner ansteuert. Bei Tests mit Claude Code stellten die Forscher fest, dass die interne Logik des Modells den tatsächlichen Bestimmungsort zwar erkannte und intern als Konfigurationsdatei der Shell identifizierte, dem Nutzer im Dialogfenster aber dennoch nur der harmlose Dateiname präsentiert wurde.

Der menschliche Entwickler erteilt somit eine Freigabe basierend auf unvollständigen Fakten. Einige Werkzeuge verhalten sich noch restriktiver. Windsurf schreibt die Daten bereits vor der Anzeige der Bestätigungsknöpfe auf die Festplatte, wodurch die Eingabeaufforderung lediglich als Rückgängig-Funktion dient. Bei Augment erfolgte der Zugriff komplett ohne Dialogfenster, wodurch die Forscher AWS-Anmeldedaten unbemerkt außerhalb des Projektverzeichnisses auslesen konnten.

Anzeige

Status der Fehlerbehebung von GhostApproval bei den Herstellern

Die Reaktionen der betroffenen Hersteller fallen unterschiedlich aus. Amazon Q Developer hat den Fehler in der Language Server Version 1.69.0 unter der Kennung CVE-2026-12958 behoben. Cursor schloss die Lücke mit der Version 3.0 unter CVE-2026-50549. Auch Google hat ein Update für Antigravity bereitgestellt. Die Anbieter Augment und Windsurf haben das Problem bestätigt, arbeiten jedoch noch an einer Behebung. Anthropic weist die Klassifizierung als Sicherheitslücke zurück. Das Unternehmen teilte Wiz mit, das Szenario liege „außerhalb unseres Bedrohungsmodells“, da der Entwickler dem Ordner beim Starten der Sitzung bereits vertraut und die Bearbeitung autorisiert habe.

Zum Schutz vor solchen Angriffen wird empfohlen, KI-Agenten nur mit eingeschränkten Dateirechten oder innerhalb von isolierten Containern auszuführen. Das Risiko einer Ausnutzung in freier Wildbahn ist real. Bereits im Juni 2026 nutzte der Miasma-Wurm manipulierte Konfigurationsdateien in Microsoft Azure, um Schadcode auszuführen, sobald ein Entwickler das infizierte Projekt in Claude Code, Cursor oder Gemini öffnete.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.