Уязвимость в ИИ-инструменте для кодинга обнажает серьезную проблему «человека в контуре» безопасности

Ai безопасность уязвимости разработка инструменты облако csoonline.com

Уязвимость в инструментах разработки ИИ позволила злоумышленникам обойти песочницы, обманув людей в процессе контроля, которые должны были сознательно одобрить действия инструмента, сообщает Wiz. GhostApproval — систематическая схема уязвимости, затрагивающая шесть ведущих AI‑помощников по кодированию: Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity и Windsurf (сейчас Devin Desktop).

Уязвимость в инструментах разработки ИИ позволила злоумышленникам обойти песочницы, обманув людей в петле контроля, которые должны были сознательно одобрить действия инструмента, сообщает исследовательская компания по кибербезопасности Wiz.

«Мы обнаружили GhostApproval, систематическую схему уязвимости, затрагивающую шесть ведущих помощников по кодированию на базе ИИ: Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity и Windsurf [сейчас известен как Devin Desktop],» доклад Wiz сообщил. «В каждом случае злонамеренный репозиторий может обмануть агента, заставив получить доступ к произвольным файлам за пределами песочницы рабочей области, что потенциально позволяет удалённое выполнение кода на машине разработчика».

«Первый доклад об этой уязвимости поступил ранее в этом месяце от Cato Networks, но он был ограничен одной платформой — Cursor, тогда как Wiz обнаружил, что влияние существенно шире.»

Суть проблемы безопасности — символьные ссылки (symlinks) — хорошо известна и используется десятилетиями. Но GhostApproval выходит за рамки их исторического применения как вектора атаки.

Символьные ссылки — это особые файлы, которые служат ярлыками к другим файлам или каталогам. В атаках они обычно приводят к цели за пределами контролируемой зоны, что позволяет злоумышленнику работать с неавторизованными файлами в менее контролируемой среде, за пределами безопасной песочницы или даже в изолированной системе без сети.

«В нескольких случаях», отметил Wiz, «внутренняя логика агента явно распознаёт опасную цель, но подтверждающий запрос, показанный пользователю, полностью скрывает эту информацию. Это CWE-451 — искажение критической информации на уровне интерфейса — поверх уязвимости символьной ссылки. Пользователь одобряет то, что считает безобидным локальным редактированием. Затем агент записывает в чувствительный файл за пределами рабочей области проекта.»

Wiz заявил, что сообщил об этой проблеме шести первоначально затронутым поставщикам; AWS, Cursor и Google «устранили проблему оперативно», Augment и Windsurf/Devin «подтвердили получение, но молчат», а Anthropic уже исправил проблему до обращения Wiz.

Потенциально масштабное воздействие

Но аналитики и консультанты говорят, что описанная Wiz проблема инструментов разработки ИИ демонстрирует гораздо более серьёзный риск безопасности: предприятия слишком полагаются на эти инструменты и на предоставляемую ими информацию, что может дать злоумышленникам большой простор для действий.

Кэти Нортон, старший менеджер по исследованиям DevSecOps в IDC, отметила, что доклад Wiz подчёркнул тревожный факт. «Проверка безопасности, на которую полагаются люди, чтобы поймать эти действия, на самом деле ничего не останавливает. Это реальный способ взлома компьютера у разработчика», — сказала она. «Суть ограничения — в одном условии: атака требует, чтобы разработчик клонировал и работал с ненадёжным или вредоносным репозиторием. Это концентрирует риск в рабочих процессах, затрагивающих внешних контрибьюторов, форк‑репозитории и зависимости третьих лиц или с открытым исходным кодом, а не в коде, написанном внутри компании».

Нортон добавила, что риск от этой уязвимости и аналогичных дыр в других инструментах разработки ИИ потенциально огромен. «С марта 2025 года поставщики средств безопасности и исследователи публикуют сопоставимые проблемы почти во всех крупных AI‑помощниках по кодированию. Шаблон таков: выпускается обход защиты, через несколько месяцев появляется новый обход той же защиты. Это стоит пристального внимания и отражает, насколько ещё новая эта категория угроз во всех аспектах, и это не пробел, связанный с конкретной практикой любого производителя.»

«Это означает, — пояснила она, — что агентные инструменты кодирования требуют многоуровневой защиты, потому что риск не ограничивается кодом, который генерирует агент. Сами инструменты находятся в цепочке поставок ПО и могут подвергаться прямой атаке. GhostApproval наглядно подчёркивает это.»

«Уязвимость не имеет отношения к качеству кода или небезопасному выводу. Это дефект в том, как агент обрабатывает файлы и представляет свои действия пользователю, вызванный конструкцией инструмента, а не плохим запросом или скомпрометированной зависимостью. Непредусмотренность собственной поверхности атаки инструментов кодирования оставляет такие пробелы без внимания.»

Переосмысление политик и процедур

Ноа Кенни, ведущий консультант Digital 520, согласен: руководителям по информационной безопасности предприятий стоит переосмыслить многие политики и процедуры, связанные с инструментами разработки ИИ.

«Суть в том, что собственная логика агента выявила вредоносную цель, а окно подтверждения всё равно её скрывало. Инструмент знал, что пишет в SSH-ключи, и всё равно попросил человека утвердить изменение в конфигурационном файле, создавая иллюзию контроля над моделью», — сказал Кенни. «Многие считали, что человек в цикле — ответ на риск агента, но этот доклад показывает, что цикл может принимать неверную информацию от самого агента, которого он должен контролировать».

По его словам, следует скорректировать подход к управлению инструментами.

«Рассматривайте AI‑помощников как привилегированное программное обеспечение с доступом к файловой системе, а не как плагины‑редакторы. Это означает дисциплину патчей, фиксацию версий и знание того, какие инструменты в вашей среде пишут на диск до авторизации», — сказал Кенни. «Затем ограничьте радиус поражения песочницей. Эти агенты должны работать с доверенными репозиториями в изолированных средах, где запись в authorized_keys никуда не идёт. Не полагайтесь на диалог самого инструмента как на средство контроля или управления»

Проблема дизайна на уровне всей категории

Джастин Грейс, генеральный директор консалтинговой фирмы Acceligence, добавил, что эта уязвимость безопасности представляет гораздо более серьёзную проблему стратегии безопасности предприятий, чем осознают большинство CISO.

«Шесть разных поставщиков независимо пришли к очень похожей модели доверия. Это говорит о том, что мы сталкиваемся с задачей дизайна на уровне всей категории, а не набором отдельных ошибок реализации. Если подобные уязвимости останутся без исправления, они представляют значительный риск для предприятий, особенно для организаций, где инструменты кодирования на базе ИИ взаимодействуют с небезопасными репозиториями или продукционными средами разработки», — отметил он.

«Немедленная тревога касается не только удалённого выполнения кода. Дело в том, что эти агенты работают с уровнем доступа к файловой системе, доступом к инструментам и доверием разработчиков, которых обычные плагины IDE никогда не имели. Как только AI‑агент становится активным участником разработки, каждая граница доверия, через которую он переходит, становится частью поверхности атаки организации.»

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:

Похожие новости: