GhostApproval手法、AIコードアシスタントのセキュリティを回避

Artem Sapegin / Unsplash
2026年7月9日(水)(UTC)、ローカルコンピュータ上の開発コパイロット使用に伴うセキュリティリスクを露呈する重大な脆弱性が明らかになった。クラウドセキュリティ企業**Wiz**が公開したレポートは、**GhostApproval**と呼ばれる攻撃手法の詳細を明らかにした。この手法は、**人工知能**コードアシスタントの保護バリアを回避する。この脆弱性により、攻撃者はプログラマのオペレーティングシステム上の保護されたファイルを、ツールがセキュリティ警告を発することなく改ざんできる。
継承されたシンボリックリンクによる不可視の操作
サイバーセキュリティの欠陥は、**Claude Code**、**Amazon Q**、**Cursor**などの人気ターミナルユーティリティがローカルファイルの論理パスを解決する方法に存在する。攻撃者は、ユーザーのローカルSSH鍵フォルダなどのシステムの機密設定ファイルを指す悪意のある**シンボリックリンク**を含むテストリポジトリを作成する。この不適切な読み取りの直接的な結果として、AIはシンボリックリンクを通常のコードファイルとして解釈し、プロンプト経由で要求された自動変更を書き込む。一方、開発者はプログラミングアシスタントの自律性を信頼し、リポジトリの深いディレクトリツリーを検査せずに論理的な提案を受け入れる。しかし、エンドポイント防御は書き込みの識別に失敗する。なぜなら、ターミナル命令は信頼されたニューラルコードアシスタントのバイナリ自体によって発行されるからだ。このシナリオは、侵入の不可視の抜け道を露呈する。
この脆弱性の悪用の結果は、企業クラウドリポジトリへの暗号鍵の静かな侵害である。実際には、GhostApprovalの悪用により、攻撃者は最小限の労力で開発の論理資格情報を流出させることができる。
即時修正とファイルシステムナビゲーションの制限
しかし、この動作上の欠陥の影響を軽減するには、ニューラルアシスタントの開発企業が論理ナビゲーションを厳密にマッピングされたディレクトリに制限する必要がある。その背後で、Anthropicのソフトウェアエンジニアリングチームは、ディスクへの物理的な書き込み前にsymlinkの整合性を検証するための厳格なフィルタを実装する計画だ。科学者の目標は、ローカルサンドボックスの論理的境界を再確立することである。
新しい読み取り権限制限を含む公式修正パッチの公開は、本日終日に行われる予定である。インフラストラクチャチームへの即時の指示は、合成コーディングアシスタントの実行を許可する前に、クローンされたローカルリポジトリを監査することである。
このコンテンツは私たちのチーム(iatoskill.com)によって作成およびレビューされました。問題がある場合は、こちらからお問い合わせください


