
GhostApproval : comment un symlink peut detourner votre assistant de code IA
- VersionDude
- Outils
- 6 min de lecture
En juillet 2026, Wiz a devoile GhostApproval, une faille touchant six assistants de code IA. Un depot malveillant utilise un lien symbolique pour rediriger une modification approuvee vers des fichiers sensibles comme vos cles SSH. Ce qu'est l'attaque, quels outils sont touches, et comment rester a l'abri.
Le 8 juillet 2026, la societe de securite cloud Wiz a devoile une faille qu'elle nomme GhostApproval, touchant six assistants de code IA populaires. Le procede est simple et derangeant : l'assistant vous demande l'autorisation de modifier un fichier d'apparence anodine, vous acceptez, et l'ecriture atterrit discretement sur un autre fichier, sensible celui-la. Le nom resume tout : vous approuvez un fantome, et c'est autre chose qui se produit.
Cela concerne tout developpeur qui utilise un agent IA pour lire et modifier du code, car ces agents agissent avec vos propres droits sur le systeme de fichiers. Quand un agent peut ecrire sur le disque, un depot piege peut transformer une seule modification approuvee en execution de code a distance. Voici ce qu'est GhostApproval, comment il fonctionne exactement, quels outils sont touches, et la discipline qui vous protege.
Ce qu'est GhostApproval

Wiz a publie sa recherche le 8 juillet 2026 et a baptise le schema GhostApproval. Selon son rapport, les assistants touches sont Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity et Windsurf. La faiblesse sous-jacente est classee CWE-61, le suivi de lien symbolique - une categorie de bug anterieure de plusieurs decennies aux outils IA.
Le mot fantome est la cle. L'assistant vous montre une demande d'approbation nommant un fichier, vous croyez donc autoriser un petit changement sans danger. Mais l'action reellement executee ecrit ailleurs, entierement. Vous avez approuve une chose ; l'outil en a fait une autre. Cet ecart entre ce que vous voyez et ce qui se passe, c'est toute la vulnerabilite.
Comment fonctionne l'attaque par symlink
Le mecanisme repose sur une vieille fonction Unix appelee lien symbolique, ou symlink. Un symlink est un fichier qui pointe simplement vers un autre fichier ailleurs sur le disque. Lisez ou ecrivez le symlink et le systeme d'exploitation vous redirige discretement vers sa cible. C'est utile et parfaitement normal - mais seulement si le programme qui le manipule verifie ou le lien mene vraiment.
- GhostApproval exploite les symlinks (CWE-61) dans les assistants de code IA
- Un depot malveillant redirige une modification approuvee vers des fichiers sensibles comme ~/.ssh/authorized_keys
- Six outils touches ; Amazon Q, Cursor et Google Antigravity ont livre des correctifs avec CVE
- Mettez a jour votre assistant de code IA vers sa derniere version corrigee
- Traitez chaque depot clone comme du code non fiable et lisez ce que vous approuvez
Wiz a construit un depot malveillant contenant un symlink au nom anodin, comme project_settings.json. Ce lien ne contenait aucun reglage : il pointait vers le ~/.ssh/authorized_keys de la victime, le fichier qui liste les cles SSH autorisees a se connecter a la machine. Le README du depot demandait ensuite a l'assistant d'ajouter une ligne a project_settings.json.
L'agent a suivi l'instruction et ecrit la ligne. Comme le fichier etait un symlink, la ligne a atterri dans authorized_keys - et cette ligne etait la propre cle publique SSH de l'attaquant, deguisee en reglage inoffensif. Selon Wiz, le resultat est une injection de cle SSH, une persistance par shell ou une autre execution de code a distance, tout cela hors de l'espace de travail ou l'agent etait cense rester.
Quels outils sont touches, et corriges
Les reponses des editeurs ont varie, d'apres Wiz. Amazon Q a ete corrige dans la version 1.69.0 du serveur de langage et a recu le CVE-2026-12958 ; Cursor a ete corrige en version 3.0 sous le CVE-2026-50549 ; Google Antigravity a livre un correctif avec un CVE en attente. Augment et Windsurf ont reconnu le probleme - Windsurf le 23 juin 2026 - avec des correctifs encore en cours a la publication.
Anthropic, selon Wiz, a considere ce comportement comme hors de son modele de menace plutot que comme un bug ; Wiz note aussi que Claude Code avait deja ajoute des avertissements sur les symlinks en version 2.1.32, livree le 5 fevrier 2026, avant le rapport. Quel que soit votre outil, la mesure pratique est la meme : mettez-le a jour vers la derniere version, ou les editeurs concernes ont ajoute la resolution des symlinks et des avertissements.
Comment vous proteger
Au-dela du correctif, la defense est une discipline. Traitez chaque depot clone comme du code non fiable, car un depot peut porter des symlinks qui pointent bien au-dela de son propre dossier. Le conseil de Wiz aux editeurs merite d'etre repris comme checklist mentale : resoudre les symlinks avant d'afficher une demande d'approbation, avertir clairement quand le chemin resolu sort de l'espace de travail, et ne jamais ecrire sur le disque avant une autorisation explicite.
Ce qu'il faut vraiment retenir
La lecon de fond survit a ce bug precis. Un agent de code IA agit avec vos droits : approuver son action, c'est faire confiance a tout le depot qu'il lit, pas seulement a la ligne affichee a l'ecran. Limitez la portee de vos cles SSH, faites tourner le code auquel vous ne faites pas entierement confiance dans un environnement isole, et lisez ce que vous approuvez - surtout quand le fichier qu'il nomme a l'air rassurant de banalite.



Au-dela du correctif, la defense est une discipline. Traitez chaque depot clone comme du code non fiable, car un depot peut porter des symlinks qui pointent bien au-dela de son propre dossier. Le conseil de Wiz aux editeurs merite d'etre repris comme checklist mentale : resoudre les symlinks avant d'afficher une demande d'approbation, avertir clairement quand le chemin resolu sort de l'espace de travail, et ne jamais ecrire sur le disque avant une autorisation explicite.