
GhostApproval: como um symlink pode sequestrar o seu assistente de codigo IA
- VersionDude
- Ferramentas
- 6 min de leitura
Em julho de 2026 a Wiz revelou o GhostApproval, uma falha que afeta seis assistentes de codigo IA. Um repositorio malicioso usa um link simbolico para redirecionar uma edicao aprovada para ficheiros sensiveis como as suas chaves SSH. O que e o ataque, que ferramentas estao afetadas e como manter-se seguro.
A 8 de julho de 2026 a empresa de seguranca cloud Wiz revelou uma falha a que chama GhostApproval, que afeta seis assistentes de codigo IA populares. O truque e simples e perturbador: o assistente pede-lhe permissao para editar um ficheiro de aspeto inofensivo, voce aprova, e a escrita cai discretamente noutro ficheiro, sensivel. O nome resume tudo: aprova um fantasma e acontece outra coisa.
Isto importa a qualquer programador que use um agente IA para ler e editar codigo, porque esses agentes agem com as suas proprias permissoes no sistema de ficheiros. Quando um agente pode escrever no disco, um repositorio armadilhado pode transformar uma unica edicao aprovada em execucao remota de codigo. Eis o que e o GhostApproval, como funciona exatamente, que ferramentas foram afetadas e a disciplina que o protege.
O que e o GhostApproval

A Wiz publicou a investigacao a 8 de julho de 2026 e batizou o padrao de GhostApproval. Segundo o seu relatorio, os assistentes afetados sao Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity e Windsurf. A fraqueza subjacente esta classificada como CWE-61, o seguimento de links simbolicos - uma categoria de bug anterior em decadas as ferramentas de IA.
A palavra fantasma e o ponto. O assistente mostra-lhe um pedido de aprovacao a nomear um ficheiro, por isso acredita estar a autorizar uma pequena alteracao segura. Mas a acao que realmente corre escreve noutro lugar por completo. Aprovou uma coisa; a ferramenta fez outra. Essa distancia entre o que ve e o que acontece e toda a vulnerabilidade.
Como funciona o ataque por symlink
O mecanismo e uma velha funcao Unix chamada link simbolico, ou symlink. Um symlink e um ficheiro que aponta simplesmente para outro ficheiro noutro ponto do disco. Leia ou escreva o symlink e o sistema operativo redireciona-o discretamente para o seu alvo. E util e totalmente normal - mas so se o programa que o manuseia verificar para onde o link leva de facto.
- O GhostApproval abusa dos symlinks (CWE-61) nos assistentes de codigo IA
- Um repo malicioso redireciona uma edicao aprovada para ficheiros sensiveis como ~/.ssh/authorized_keys
- Seis ferramentas afetadas; Amazon Q, Cursor e Google Antigravity lancaram correcoes com CVE
- Atualize o seu assistente de codigo IA para a versao corrigida mais recente
- Trate cada repositorio clonado como codigo nao fiavel e leia o que aprova
A Wiz construiu um repositorio malicioso com um symlink de nome inocente, como project_settings.json. Esse link nao continha qualquer definicao: apontava para o ~/.ssh/authorized_keys da vitima, o ficheiro que lista as chaves SSH autorizadas a iniciar sessao na maquina. O README do repositorio pedia entao ao assistente que adicionasse uma linha a project_settings.json.
O agente seguiu a instrucao e escreveu a linha. Como o ficheiro era um symlink, a linha caiu dentro de authorized_keys - e essa linha era a propria chave publica SSH do atacante, disfarcada de definicao inofensiva. Segundo a Wiz, o resultado e injecao de chave SSH, persistencia por shell ou outra execucao remota de codigo, tudo fora do espaco de trabalho onde o agente devia permanecer.
Que ferramentas foram afetadas, e corrigidas
As respostas dos fornecedores variaram, de acordo com a Wiz. O Amazon Q foi corrigido na versao 1.69.0 do language server e recebeu o CVE-2026-12958; o Cursor foi corrigido na versao 3.0 sob o CVE-2026-50549; o Google Antigravity lancou uma correcao com um CVE pendente. A Augment e a Windsurf reconheceram o problema - a Windsurf a 23 de junho de 2026 - com correcoes ainda em curso a publicacao.
A Anthropic, segundo a Wiz, considerou o comportamento fora do seu modelo de ameaca em vez de um bug; a Wiz nota tambem que o Claude Code ja tinha adicionado avisos sobre symlinks na versao 2.1.32, lancada a 5 de fevereiro de 2026, antes do relatorio. Seja qual for a sua ferramenta, a medida pratica e a mesma: atualize-a para a versao mais recente, onde os fornecedores afetados adicionaram resolucao de symlinks e avisos.
Como se proteger
Para alem do patch, a defesa e disciplina. Trate cada repositorio clonado como codigo nao fiavel, porque um repo pode transportar symlinks que apontam muito para alem da sua propria pasta. O conselho da Wiz aos fornecedores serve como checklist mental: resolver os symlinks antes de mostrar um pedido de aprovacao, avisar claramente quando o caminho resolvido sai do espaco de trabalho, e nunca escrever no disco antes de uma autorizacao explicita.
A conclusao honesta
A licao de fundo sobrevive a este bug concreto. Um agente de codigo IA age com as suas permissoes: aprovar a sua acao significa confiar em todo o repositorio que ele le, nao apenas na linha no ecra. Limite o alcance das suas chaves SSH, execute o codigo em que nao confia totalmente num ambiente isolado, e leia o que aprova - sobretudo quando o ficheiro que ele nomeia parece tranquilizadoramente banal.



Para alem do patch, a defesa e disciplina. Trate cada repositorio clonado como codigo nao fiavel, porque um repo pode transportar symlinks que apontam muito para alem da sua propria pasta. O conselho da Wiz aos fornecedores serve como checklist mental: resolver os symlinks antes de mostrar um pedido de aprovacao, avisar claramente quando o caminho resolvido sai do espaco de trabalho, e nunca escrever no disco antes de uma autorizacao explicita.