資安公司揭露 GhostApproval 漏洞,AI 程式碼助理的「盲從」危機
資安公司 Wiz 近期揭露一項名為「GhostApproval」的系統性漏洞,正影響至少六款廣泛使用的 AI 程式碼助理,包含 Amazon Q Developer、Anthropic Claude Code、Augment、Cursor、Google Antigravity 與 Windsurf。
該漏洞利用 Unix 系統中歷史悠久的符號連結(Symlink)機制,使攻擊者能藉由惡意程式庫,誤導 AI 代理程式(Agent)存取工作區以外的檔案,最終恐導致開發者的電腦面臨遠端程式碼執行(RCE)的嚴重風險。
手法剖析:披著羊皮的惡意連結
Wiz 指出,此攻擊手法其實並不複雜。攻擊者可建立一個看似正常的專案儲存庫,將其中的設定檔偽裝成符號連結,暗中指向使用者主機內的敏感檔案(例如 SSH 授權金鑰檔)。
當受害者複製(Clone)該儲存庫後,若要求 AI 助理「依照 README 設定工作區」或執行類似操作,AI 就可能盲目遵從指示,將攻擊者的公開金鑰寫入該敏感檔案中。如此一來,攻擊者便能取得長期且免密碼的遠端登入權限。
問題的癥結點不僅在於 AI 會盲從符號連結,更在於許多產品雖設有確認視窗或人工核准機制,卻未在提示畫面上清楚揭露真正的寫入目標。
使用者以為自己只是同意修改專案內的無害檔案,實際上 AI 寫入的卻是工作區外的系統敏感檔案。這使得所謂的「人機迴圈」(Human-in-the-loop)安全防線完全失效。
面對此漏洞,各家 AI 供應商的處理態度有著顯著差異。
在已完成修補並將其視為重大風險的陣營中,Amazon 將此問題列為 Q Developer 的高嚴重性「預先授權寫入」漏洞,並發布 CVE-2026-12958;Cursor 於 v3.0 更新中修復,取得 CVE-2026-50549;Google 則將 Antigravity 的相關缺陷定調為重大漏洞,已於 5 月 22 日部署修補,目前正評估是否發布 CVE 編號。
相較之下,部分業者目前尚未推出修補程式。Augment 雖然將此問題列為重大風險,但認為 AI 編輯與執行程式碼本質上是基於使用者權限,主張此風險應由開發者與 AI 供應商共同承擔;Windsurf 則尚未釋出修補,且未對外回應。
最引發爭議的是 Anthropic 的處理方式。該公司回應指出,使用者啟動工作階段時已確認「信任該目錄」,後續操作便不屬於產品應防範的範圍,因此將通報標記為「僅供參考」。然而,Wiz 發現測試中的 Claude Code 其實能辨識出目標為敏感檔案,卻未在確認介面中如實顯示給使用者。值得注意的是,新版 Claude(v2.1.173 以上)已能解析符號連結並發出警告,但 Anthropic 迄今未說明這項變更是否與本次漏洞通報有關。
AI 時代的「信任邊界」與新風險
此事件再次浮現了 AI 代理程式安全中關於「信任邊界」的激烈爭論。部分業者主張,使用者按下核准就應承擔後果;但 Wiz 強調,若介面未能揭露真實目標,使用者根本無法做出知情決定(Informed Decision),形式上的同意並不等同於實質安全。對於正積極導入 AI 開發工具的企業而言,傳統檔案系統的安全原則,絕不能因為導入新穎的 AI 架構而遭到忽視。
進一步的資料更顯示,代理型 AI 的攻擊面正逐漸從傳統的「提示注入(Prompt Injection)」,擴大至記憶、檢索內容與工具中繼資料(Metadata)等更深層的狀態來源。GhostApproval 不僅是單一產品的漏洞,它更敲響了警鐘:當 AI 代理程式在處理外部資料與本機檔案時,若缺乏嚴謹的驗證與清晰的權限揭露,必將成為企業部署 AI 時的高風險破口。
(首圖來源:Unsplash)