Sicherheitsforscher von Wiz haben eine Schwachstelle in sechs weit verbreiteten Coding-Agenten entdeckt und ihr den Namen GhostApproval gegeben. Betroffen sind Amazon Q Developer, Anthropics Claude Code, Augment, Cursor, Google Antigravity und Windsurf. Über ein manipuliertes Repository können Angreifer die KI-Modelle dazu bringen, auf beliebige Dateien des Systems zuzugreifen, auch außerhalb einer Sandbox.
Symlink als Angriffsvektor
Der Angriff nutzt symbolische Links. Die Wiz-Forscher haben ein Test-Repository erstellt, das eine Datei namens project_settings.json enthält. Diese Datei ist jedoch kein echtes Konfigurations-File, sondern ein Symlink auf die SSH-Schlüssel des Nutzers unter ~/.ssh/authorized_keys.
Die Readme-Datei im Repository enthält eine Anweisung, die den KI-Agenten auffordert, beim Einrichten des Workspace eine Zeile in project_settings.json zu schreiben. Diese Zeile ist der SSH-Schlüssel des Angreifers. Weil der Agent den Symlink nicht erkennt oder ignoriert, schreibt er direkt in die SSH-Schlüsseldatei und öffnet so dem Angreifer ungehinderten Zugang per SSH. Eine Variante des Angriffs nutzt stattdessen die Shell-Startup-Datei ~/.zshrc.
Human in the Loop schützt nicht zuverlässig
Besonders kritisch: Claude Code erkennt im internen Reasoning zwar, dass project_settings.json auf eine andere Datei zeigt. Im Dialog mit dem Nutzer fragt er aber nur "Make this edit to project_settings.json?" und verschweigt die eigentliche Zieldatei. Andere Tools gehen noch weiter: Windsurf schreibt den SSH-Schlüssel zunächst und fragt anschließend. Augment zeigt gar keinen Dialog.
Stand der Patches
Wiz hat die Schwachstelle im Februar 2026 an die Hersteller gemeldet. Amazon Q Developer, Cursor und Google Antigravity haben inzwischen Updates veröffentlicht. Für Augment und Windsurf stehen Patches noch aus. Anthropic hat nach eigenen Angaben unabhängig von der Wiz-Untersuchung damit begonnen, Symlink-Erkennung und Warnhinweise in Claude Code einzubauen.