Saltar al contenido principal
Volver a noticias
ai security The Hacker News Verificada

Flaw de GhostApproval Symlink podría permitir que repositorios maliciosos ejecuten código en agentes de codificación de IA

vulnerabilities ai-security coding-assistants symlink-flaws malicious-repos

Resumen

Investigadores de Wiz descubrieron una vulnerabilidad en seis asistentes de codificación de IA populares que permite a un proyecto de código trucado tomar el control de la computadora de un desarrollador. La vulnerabilidad se aprovecha a través de una solicitud de permiso para editar un archivo inofensivo, pero en realidad se escribe en un archivo sensible. Los herramientas afectadas incluyen Amazon Q Developer, Anthropic's Claude Code, Augment, Cursor, Google Antigravity y Windsurf.

Researchers at Wiz found that a flaw in six popular AI coding assistants lets a booby-trapped code project quietly take control of a developer's computer. The assistant asks permission to edit one harmless-looking file, but the write lands on a sensitive one instead. The affected tools are Amazon Q Developer, Anthropic's Claude Code, Augment, Cursor, Google Antigravity, and Windsurf.

CompartirXin

Noticias relacionadas