Datenschutz & Sicherheit
Schwachstelle in Coding-Agenten: Zugriff auf beliebige Dateien über Symlinks
In sechs großen Coding-Agenten findet sich eine Sicherheitslücke: Über ein Repository mit Schadcode können Angreifer die KI-Modelle dazu bewegen, auf beliebige Dateien zuzugreifen – auch außerhalb einer Sandbox.
Weiterlesen nach der Anzeige
IT-Forscher von Wiz haben die Schwachstelle entdeckt und GhostApproval genannt. Die Schwachstelle liegt im Umgang mit symbolischen Links.
Betroffen sind Amazon Q Developer, Anthropics Claude Code, Augment, Cursor, Google Antigravity und Windsurf. Für die meisten Tools existiert inzwischen ein Update, das die Schwachstelle behebt, aber für Augment und Windsurf existieren noch keine Patches.
Symlink als Angriffsvektor
Offenbar prüfen die betroffenen Agenten die Symlinks nicht genügend. Die Wiz-Forscher haben ein Repository erstellt, das den Symlink project_settings.json enthält, der auf die SSH-Schlüssel (~/.ssh/authorized_keys) verweist.
In der Readme-Datei steht die Anweisung, dass der Assistent beim Aufsetzen eines Workspace eine Zeile zu project_settings.json hinzufügen soll. Diese Zeile enthält den SSH-Schlüssel des Angreifers.
Sobald jemand das Repository einem KI-Agenten mit der Bitte übergibt, einen Workspace dafür einzurichten, schreibt der Agent vermeintlich in die harmlose project_settings.json-Datei, die aber keine Projektdatei, sondern ein Symlink auf die SSH-Schlüssel ist. Damit öffnet er den Zugriff über SSH für den Angreifer.
Weiterlesen nach der Anzeige
Die Kombination aus Symlink auf die SSH-Schlüssel und der Anweisung in der Readme-Datei ermöglicht den Angriff.
(Bild: Wiz)
Wiz hat auch erfolgreich eine Variante des Angriffs getestet, die einen Symlink auf die Start-up-Datei der Shell ~/.zshrc nutzt.
Human in the Loop hilft nicht immer
Besonders fatal: Wer auf Sicherheit durch Human in the Loop setzt, könnte getäuscht werden. So erkennt Claude Code im internen Reasoning zwar, dass es sich bei project_settings.json eigentlich um eine zsh-Konfigurationsdatei handelt. Allerdings verschweigt der Assistent im Dialog diese Information und fragt nur „Make this edit to project_settings.json?“
Claude Code erkennt zwar, dass es sich um einen symbolischen Link zu einer anderen Datei handelt, verschweigt es aber im Dialog.
(Bild: Wiz)
Andere Tools umgehen die menschliche Interaktion wohl noch weiter: Windsurf schreibt zunächst den SSH-Schlüssel in die Datei und fragt danach, ob es auch okay ist. Augment zeigt gar keinen Dialog.
Fix für die meisten der betroffenen Systeme
Die Forscher haben die Schwachstelle im Februar 2026 entdeckt und an die Hersteller gemeldet. Für Amazon Q Developer, Google Antigravity und Cursor gibt es inzwischen Updates, die das Problem nicht mehr haben. Augment und Windsurf arbeiten daran. Anthropic hat laut eigenen Angaben unabhängig von der Wiz-Untersuchung daran gearbeitet, dass Claude Code Symlinks erkennt und davor warnt.
Weitere Details zu den Schwachstellen und wie sie sich in den einzelnen KI-Agenten zeigen, finden sich im Wiz-Blog.
(rme)