請更新您的瀏覽器

您使用的瀏覽器版本較舊,已不再受支援。建議您更新瀏覽器版本,以獲得最佳使用體驗。

資安公司揭露 GhostApproval 漏洞,AI 程式碼助理的「盲從」危機

科技新報

更新於 18小時前 • 發布於 2小時前

資安公司 Wiz 近期揭露一項名為「GhostApproval」的系統性漏洞,正影響至少六款廣泛使用的 AI 程式碼助理,包含 Amazon Q Developer、Anthropic Claude Code、Augment、Cursor、Google Antigravity 與 Windsurf。

該漏洞利用 Unix 系統中歷史悠久的符號連結(Symlink)機制,使攻擊者能藉由惡意程式庫,誤導 AI 代理程式(Agent)存取工作區以外的檔案,最終恐導致開發者的電腦面臨遠端程式碼執行(RCE)的嚴重風險。

手法剖析:披著羊皮的惡意連結

Wiz 指出,此攻擊手法其實並不複雜。攻擊者可建立一個看似正常的專案儲存庫,將其中的設定檔偽裝成符號連結,暗中指向使用者主機內的敏感檔案(例如 SSH 授權金鑰檔)。

當受害者複製(Clone)該儲存庫後,若要求 AI 助理「依照 README 設定工作區」或執行類似操作,AI 就可能盲目遵從指示,將攻擊者的公開金鑰寫入該敏感檔案中。如此一來,攻擊者便能取得長期且免密碼的遠端登入權限。

問題的癥結點不僅在於 AI 會盲從符號連結,更在於許多產品雖設有確認視窗或人工核准機制,卻未在提示畫面上清楚揭露真正的寫入目標。

使用者以為自己只是同意修改專案內的無害檔案,實際上 AI 寫入的卻是工作區外的系統敏感檔案。這使得所謂的「人機迴圈」(Human-in-the-loop)安全防線完全失效。

面對此漏洞,各家 AI 供應商的處理態度有著顯著差異。

在已完成修補並將其視為重大風險的陣營中,Amazon 將此問題列為 Q Developer 的高嚴重性「預先授權寫入」漏洞,並發布 CVE-2026-12958;Cursor 於 v3.0 更新中修復,取得 CVE-2026-50549;Google 則將 Antigravity 的相關缺陷定調為重大漏洞,已於 5 月 22 日部署修補,目前正評估是否發布 CVE 編號。

相較之下,部分業者目前尚未推出修補程式。Augment 雖然將此問題列為重大風險,但認為 AI 編輯與執行程式碼本質上是基於使用者權限,主張此風險應由開發者與 AI 供應商共同承擔;Windsurf 則尚未釋出修補,且未對外回應。

最引發爭議的是 Anthropic 的處理方式。該公司回應指出,使用者啟動工作階段時已確認「信任該目錄」,後續操作便不屬於產品應防範的範圍,因此將通報標記為「僅供參考」。然而,Wiz 發現測試中的 Claude Code 其實能辨識出目標為敏感檔案,卻未在確認介面中如實顯示給使用者。值得注意的是,新版 Claude(v2.1.173 以上)已能解析符號連結並發出警告,但 Anthropic 迄今未說明這項變更是否與本次漏洞通報有關。

AI 時代的「信任邊界」與新風險

此事件再次浮現了 AI 代理程式安全中關於「信任邊界」的激烈爭論。部分業者主張,使用者按下核准就應承擔後果;但 Wiz 強調,若介面未能揭露真實目標,使用者根本無法做出知情決定(Informed Decision),形式上的同意並不等同於實質安全。對於正積極導入 AI 開發工具的企業而言,傳統檔案系統的安全原則,絕不能因為導入新穎的 AI 架構而遭到忽視。

進一步的資料更顯示,代理型 AI 的攻擊面正逐漸從傳統的「提示注入(Prompt Injection)」,擴大至記憶、檢索內容與工具中繼資料(Metadata)等更深層的狀態來源。GhostApproval 不僅是單一產品的漏洞,它更敲響了警鐘:當 AI 代理程式在處理外部資料與本機檔案時,若缺乏嚴謹的驗證與清晰的權限揭露,必將成為企業部署 AI 時的高風險破口。

(首圖來源:Unsplash

立刻加入《科技新報》LINE 官方帳號,全方位科技產業新知一手掌握!

查看原始文章

更多理財相關文章

01

全國十二大最富村出爐!新竹寶山鄉稱霸 馬祖、阿里山也入榜

三立新聞網
02

西門町「in89豪華影城」熄燈轉手!19.8億拿下 神秘家族身分曝光

三立新聞網
03

信驊1張股票近2千萬「能買北市1間房」!台股千金盛世,3年暴增39檔千金股,背後藏了什麼暴富秘密?

今周刊
04

牛市要變天了?外媒驚爆「5大致命警訊」齊發

民視新聞網
05

偉詮電股價今年漲30%!護國神山牽線,一場祕密併購切入AI鏈、市占飆4成「輝達牛肉再好,沒我們上不了桌」

今周刊
06

你絕對想不到!「全台最富村」排行出爐 阿里山、馬祖「藍眼淚」村都入榜

太報
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...