
GhostApproval: Wie ein Symlink Ihren KI-Coding-Assistenten kapern kann
- VersionDude
- Werkzeuge
- 6 Min. Lesezeit
Im Juli 2026 legte Wiz GhostApproval offen, eine Schwachstelle in sechs KI-Coding-Assistenten. Ein boesartiges Repository nutzt einen symbolischen Link, um eine genehmigte Dateiaenderung auf sensible Dateien wie Ihre SSH-Schluessel umzuleiten. Was der Angriff ist, welche Tools betroffen sind und wie Sie sicher bleiben.
Am 8. Juli 2026 legte die Cloud-Sicherheitsfirma Wiz eine Schwachstelle offen, die sie GhostApproval nennt und die sechs verbreitete KI-Coding-Assistenten betrifft. Der Trick ist einfach und beunruhigend: Der Assistent bittet um Erlaubnis, eine harmlos wirkende Datei zu bearbeiten, Sie stimmen zu, und der Schreibvorgang landet still auf einer anderen, sensiblen Datei. Der Name bringt es auf den Punkt - Sie genehmigen ein Gespenst, und etwas anderes geschieht.
Das betrifft jeden Entwickler, der einen KI-Agenten zum Lesen und Bearbeiten von Code nutzt, denn diese Agenten handeln mit Ihren eigenen Dateisystemrechten. Wenn ein Agent auf die Festplatte schreiben kann, kann ein praepariertes Repository eine einzige genehmigte Aenderung in Remote-Code-Ausfuehrung verwandeln. Hier ist, was GhostApproval ist, wie es genau funktioniert, welche Tools betroffen waren und die Disziplin, die Sie schuetzt.
Was GhostApproval ist

Wiz veroeffentlichte die Forschung am 8. Juli 2026 und nannte das Muster GhostApproval. Laut Bericht sind die betroffenen Assistenten Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity und Windsurf. Die zugrunde liegende Schwaeche ist als CWE-61 klassifiziert, das Folgen symbolischer Links - eine Fehlerkategorie, die KI-Tools um Jahrzehnte vorausgeht.
Das Wort Gespenst ist der Kern. Der Assistent zeigt Ihnen eine Genehmigungsabfrage mit einem Dateinamen, also glauben Sie, eine kleine, sichere Aenderung zu autorisieren. Doch die tatsaechlich ausgefuehrte Aktion schreibt ganz woanders hin. Sie haben eines genehmigt; das Tool tat ein anderes. Diese Luecke zwischen dem, was Sie sehen, und dem, was passiert, ist die ganze Schwachstelle.
Wie der Symlink-Angriff funktioniert
Der Mechanismus ist eine alte Unix-Funktion namens symbolischer Link, kurz Symlink. Ein Symlink ist eine Datei, die einfach auf eine andere Datei anderswo auf der Festplatte zeigt. Lesen oder schreiben Sie den Symlink, leitet das Betriebssystem Sie still zu seinem Ziel um. Das ist nuetzlich und voellig normal - aber nur, wenn das verarbeitende Programm prueft, wohin der Link wirklich fuehrt.
- GhostApproval missbraucht Symlinks (CWE-61) in KI-Coding-Assistenten
- Ein boesartiges Repo leitet eine genehmigte Aenderung auf sensible Dateien wie ~/.ssh/authorized_keys um
- Sechs Tools betroffen; Amazon Q, Cursor und Google Antigravity lieferten Fixes mit CVE
- Aktualisieren Sie Ihren KI-Coding-Assistenten auf die neueste gepatchte Version
- Behandeln Sie jedes geklonte Repository als nicht vertrauenswuerdigen Code und lesen Sie, was Sie genehmigen
Wiz baute ein boesartiges Repository mit einem harmlos benannten Symlink wie project_settings.json. Dieser Link enthielt gar keine Einstellungen: Er zeigte auf die ~/.ssh/authorized_keys des Opfers, die Datei, die auflistet, welche SSH-Schluessel sich an der Maschine anmelden duerfen. Die README des Repositorys wies den Assistenten dann an, eine Zeile zu project_settings.json hinzuzufuegen.
Der Agent folgte der Anweisung und schrieb die Zeile. Da die Datei ein Symlink war, landete die Zeile in authorized_keys - und diese Zeile war der eigene oeffentliche SSH-Schluessel des Angreifers, als harmlose Einstellung getarnt. Laut Wiz ist das Ergebnis SSH-Schluessel-Injektion, Shell-Persistenz oder andere Remote-Code-Ausfuehrung, alles ausserhalb des Arbeitsbereichs, in dem der Agent bleiben sollte.
Welche Tools betroffen und behoben sind
Die Reaktionen der Hersteller fielen laut Wiz unterschiedlich aus. Amazon Q wurde in Language-Server-Version 1.69.0 behoben und erhielt CVE-2026-12958; Cursor wurde in Version 3.0 unter CVE-2026-50549 behoben; Google Antigravity lieferte einen Fix mit ausstehendem CVE. Augment und Windsurf bestaetigten das Problem - Windsurf am 23. Juni 2026 - mit zur Veroeffentlichung noch laufenden Fixes.
Anthropic betrachtete das Verhalten laut Wiz eher als ausserhalb seines Bedrohungsmodells denn als Bug; Wiz merkt zudem an, dass Claude Code bereits in Version 2.1.32, veroeffentlicht am 5. Februar 2026, vor dem Bericht Symlink-Warnungen hinzugefuegt hatte. Welches Tool auch immer Sie nutzen, die praktische Massnahme ist dieselbe: Aktualisieren Sie es auf die neueste Version, in der die betroffenen Hersteller Symlink-Aufloesung und Warnungen ergaenzt haben.
Wie Sie sich schuetzen
Ueber das Patchen hinaus ist die Verteidigung Disziplin. Behandeln Sie jedes geklonte Repository als nicht vertrauenswuerdigen Code, denn ein Repo kann Symlinks tragen, die weit ueber seinen eigenen Ordner hinauszeigen. Wiz' Rat an die Hersteller taugt als mentale Checkliste: Symlinks aufloesen, bevor eine Genehmigungsabfrage erscheint, klar warnen, wenn der aufgeloeste Pfad ausserhalb des Arbeitsbereichs liegt, und niemals auf die Festplatte schreiben vor ausdruecklicher Autorisierung.
Das ehrliche Fazit
Die tiefere Lektion ueberdauert diesen konkreten Bug. Ein KI-Coding-Agent handelt mit Ihren Rechten: Seine Aktion zu genehmigen heisst, dem gesamten Repository zu vertrauen, das er liest, nicht nur der einen Zeile auf dem Bildschirm. Begrenzen Sie den Geltungsbereich Ihrer SSH-Schluessel, fuehren Sie Code, dem Sie nicht voll vertrauen, in einer isolierten Umgebung aus, und lesen Sie, was Sie genehmigen - besonders wenn die genannte Datei beruhigend belanglos wirkt.



Ueber das Patchen hinaus ist die Verteidigung Disziplin. Behandeln Sie jedes geklonte Repository als nicht vertrauenswuerdigen Code, denn ein Repo kann Symlinks tragen, die weit ueber seinen eigenen Ordner hinauszeigen. Wiz' Rat an die Hersteller taugt als mentale Checkliste: Symlinks aufloesen, bevor eine Genehmigungsabfrage erscheint, klar warnen, wenn der aufgeloeste Pfad ausserhalb des Arbeitsbereichs liegt, und niemals auf die Festplatte schreiben vor ausdruecklicher Autorisierung.