网络安全
AI编码助手的安全盲点:古老符号链接技术如何颠覆“人在回路”信任模型
Wiz披露GhostApproval攻击,利用30年前Unix符号链接技术,欺骗多款流行AI编码助手实现远程代码执行,暴露当前“人在回路”安全模型的根本缺陷。
当AI编码助手变成攻击跳板
2025年,云安全巨头Wiz发布了一项令人警醒的研究:多个主流AI编码助手——包括Claude Code、Amazon Q Developer、Cursor、Google Antigravity、Augment和Windsurf——均能被一种诞生于Unix早期时代的符号链接(symlink)技术欺骗,从而在开发者毫无察觉的情况下实现远程代码执行。
被命名为GhostApproval的攻击,核心手法看似简单:攻击者在恶意仓库中植入一个指向系统敏感路径的符号链接(例如伪装成项目配置文件,实际上指向/etc/passwd或用户的SSH密钥目录)。当开发者打开该仓库并命令AI助手“修改此文件”时,AI模型会无差别地解析符号链接,并将写入操作重定向到攻击者指定的目标。
更危险的是,大多数AI工具在弹出确认对话框时,只显示符号链接的原始路径(如./config.yaml),而非解析后的真实路径(如/etc/ssh/authorized_keys)。这意味着人类“人在回路”的确认环节完全失效——用户批准了一个无害的本地修改,而AI代理正在悄悄篡改系统关键文件。
“人在回路”幻觉:信任边界的信息不对称
AI编码助手的核心安全机制,本应是“Human-in-the-Loop”(人在回路)。当AI代理尝试执行危险操作时,系统弹出对话框要求用户确认。Wiz的研究者一针见血地指出:“只有当回路提供准确信息时,人在回路的安全模型才有效。当代理展示一个东西却做另一个,用户批准就变成了形式。”
GhostApproval攻击恰恰击中了这一设计的阿喀琉斯之踵:信任边界的信息不对称。用户信任的是界面上的路径,而AI代理实际操作的却是符号链接指向的远程猎物。这种不对称不是偶然的——它根植于现代AI应用的架构之中:模型本身并不理解文件系统的语义,它只按照指令操作;而UI层又未能将系统底层信息(如符号链接解析结果)透明地呈现给用户。
不是新漏洞,而是新攻击面
符号链接跟踪(Symlink Following)漏洞自Unix诞生之初就已存在。但Wiz的研究证明,这种古老的技术在新AI代理的语境下获得了全新的攻击能力。传统上,symlink攻击通常用于本地权限提升或沙箱逃逸,但AI编码助手拥有比普通用户更强的系统交互能力——它们可以读取、写入、甚至执行代码,且往往被授予了超出最小权限的许可。
当AI Agent开始接管越来越多的开发任务(代码生成、重构、部署),其接触敏感系统资源的机会呈指数级增长。GhostApproval并非孤例:2025年已有多起针对AI Agent的供应链攻击与提示注入事件。GitHub的Agentic Workflows、Amazon Q的凭证泄露漏洞,都在提醒我们:AI代码助手正成为网络攻击的新兴高价值目标。
行业响应:从“修复漏洞”到“重构信任”
Wiz于2025年第一季度向所有受影响厂商报告了该漏洞。AWS、Google和Cursor确认漏洞并部署了补丁;Anthropic(Claude Code的创建者)不认为这是漏洞,但声称已在Wiz报告前增加了缓解措施。Augment和Windsurf确认收到报告,但尚未发布修复。
这一反应的差异折射出业界对AI安全边界的认知分裂:有的视其为传统文件系统漏洞,有的认为属于产品设计的信任缺陷。但无论如何,根本解决之道在于重建用户与AI代理之间的信任信息链。具体而言,AI工具应在确认对话框中展示解析后的绝对路径,并标注“此操作将影响系统关键文件”等风险提示。更激进的方案是引入文件系统权限隔离,让AI代理在工作区沙箱内操作,无法触碰非项目文件。
更深层的技术趋势反思
GhostApproval攻击的爆发,是AI Agent从“代码补全”走向“自主操作”这一进化过程中的必然阵痛。随着Cursor、Claude Code、Windsurf等工具开始执行多步骤任务(安装依赖、修改配置文件、运行脚本),它们实质上已经变成了拥有系统级权限的“数字工人”。
这一趋势揭示了三个深层问题: 1. 安全模型落后于能力增长:当前AI Agent的安全控制主要依赖“用户确认”这一脆弱的单点防护,缺乏纵深防御与运行时监控。 2. 供应链信任被高估:开发者在引入AI编码助手时,往往默认模型生成的内容安全可靠,但恶意仓库(如开源包中的symlink陷阱)可以轻松绕过这种信任。 3. 传统安全知识被遗忘:Unix文件系统中的符号链接、硬链接、time-of-check-time-of-use(TOCTOU)等经典问题,在AI时代被重新激活。安全社区需要将数十年积累的攻防经验“翻译”到AI Agent的上下文里。
结论:AI Agent安全的下一个战场
GhostApproval不是一个会被一次性修复的漏洞,而是一类攻击模式的范例。它告诉我们:当AI代理被赋予“执行者”角色时,安全设计必须从“模型对齐”扩展到“系统完整性验证”。未来,每一条AI生成的命令、每一次文件写入、每一个外部资源调用,都需要经过透明的沙箱化执行和用户可理解的审计。
对于科技巨头而言,修复AI Agent的安全漏洞不仅是合规需求,更是赢得开发者信任的关键商业决策。当CI/CD流水线开始信任AI生成的代码,当开发者习惯让AI代理自由操作文件系统时,安全设计必须从“不够好”走向“足够透明”。否则,下一次GhostApproval,可能会让你整个生产环境的密钥被一个“友好”的代码建议悄然窃走。
*本文基于Wiz于2025年4月30日发布的技术报告及SecurityWeek相关报道。*
来源边界 · thedailytech
thedailytech 将这段说明放在「科技新闻 / AI 与创新 / 大型科技公司」的站点语境中。读者复用摘要前应先打开来源链接: 日期、名称和状态变化仍需重新核对。「科技新闻 / AI 与创新 / 大型科技公司」解释了本文的本地编辑角度。