AIコーディングツールを開発者マシンのハッキングに悪用、悪用手法は数十年前から存在

Googleが保有するクラウドセキュリティ大手Wizによると、複数の人気AIコーディングアシスタントが、数十年前から知られている攻撃手法によって開発者マシンのハッキングに加担させられていたことが分かりました。

GhostApprovalと名付けられたこの攻撃は、Claude Code、Amazon Q Developer、Cursor、Google Antigravity、Augment、Windsurfに対して実証実験され、いずれも成功しています。

GhostApprovalはシンボリックリンク(symlink)の追従という、長らく知られてきたファイルシステムの挙動を悪用します。これはプログラムがシンボリックリンク自体ではなく、そのリンクが指す対象を解決して操作する仕組みで、攻撃者は欺瞞的なパスを使い、権限を持つプロセスやサンドボックス化されたプロセスをだまして、意図しないファイルへのアクセスや変更を引き起こすことができます。

このシンボリックリンクの脆弱性はUnix黎明期から知られていたものですが、Wizの研究者らは今回、これがAIコーディングアシスタントに対しても悪用可能であることを実証しました。

GhostApproval攻撃では、攻撃者は一見無害に見えるリポジトリの中にシンボリックリンクを仕込みます。このリンクは通常のプロジェクトファイルを装っていますが、実際にはワークスペース外の機密性の高い場所を指しています。

開発者がこのリポジトリをAIコーディングアシスタントで開き、編集を指示すると、エージェントはシンボリックリンクをたどり、攻撃者が指定した対象に対して書き込みを実行してしまいます。

一部のAIコーディングツールは、確認プロンプトにおいて正規のパスを正しく解決・表示できません。そのためユーザーは、一見無害なローカルの変更に見えるものを承認してしまいますが、実際にはエージェントが裏でシステムファイルを改変しているのです。

Wizは、GhostApprovalによって攻撃者が標的とする開発者のマシン上でリモートコード実行を達成できる可能性があると警告しています。

「シンボリックリンクのプリミティブ単体でも深刻な問題ですが、今回判明した事実はさらに根が深いものです。これらのツールの多くには、まさにこの種の攻撃を防ぐことを目的としたサンドボックスや確認ダイアログが備わっています。ダイアログが書き込みを検知し、ユーザーに許可を求める――理論上はこれがヒューマン・イン・ザ・ループによる安全策として機能するはずでした」とWizの研究者らは説明しています。「問題はシンボリックリンクが単にたどられてしまうことだけではありません。UIが真の対象を明らかにしていないことこそが問題なのです」

Wizはさらにこう付け加えています。「ヒューマン・イン・ザ・ループのセキュリティモデルは、そのループが正確な情報を提供して初めて機能します。エージェントが表示する内容と実際に行う動作が異なる場合、ユーザーの承認は意味をなさなくなります。確認ダイアログは、セキュリティ制御としての機能を失い、単なる形式的な手続きに成り下がってしまうのです」

同セキュリティ企業は2026年第1四半期に、影響を受ける各ベンダーに調査結果を報告しました。AWS、Google、Cursorはこの脆弱性を確認し、パッチを展開済みです。Anthropicはこの調査結果を脆弱性とは見なしていないものの、Wizの報告に先立ってこうした攻撃への緩和策をすでに追加していたと述べています。

Wizによると、AugmentとWindsurfは脆弱性報告の受領を確認済みですが、まだ修正版をリリースしていません。

同セキュリティ企業は水曜日、GhostApproval脆弱性に関する技術的詳細を公開しました。

翻訳元: https://www.securityweek.com/ai-coding-tools-tricked-into-hacking-developer-machine-via-decades-old-technique/

ソース: securityweek.com