6つの主要なAIコーディングアシスタントに共通する欠陥が見つかりました。この欠陥は承認プロンプトを単なる形式的な儀式に変えてしまい、悪意あるリポジトリが開発者のマシン上の機密ファイルに書き込みを行えるようにするほか、最悪の場合はリモートコード実行にもつながる恐れがあります。
Wiz Researchはこの欠陥を「GhostApproval」と名付け、Amazon Q Developer、AnthropicのClaude Code、Augment、Cursor、Google Antigravity、Windsurfで発見しました。
この手法は、あるファイルパスがひそかに別のパスへと解決される「シンボリックリンク(symlink)」の仕組みを悪用するものです。
信頼された承認一つで、隠された標的が動く
7月7日に公開された概念実証(PoC)の中で、Wizは、project_settings.jsonのような無害なファイルに偽装されたリポジトリ内のシンボリックリンクが、実は開発者のSSHキーを指すように仕組まれ得ることを示しました。
開発者がアシスタントに「ワークスペースをセットアップして」と依頼したり、READMEの指示に従わせたりすると、エージェントはこのリンクをたどり、攻撃者が用意したキーを本来の対象ファイルに書き込んでしまい、結果としてパスワードなしのリモートアクセス権限を攻撃者に渡してしまいます。
Wizによれば、この設計は事実上、インフォームド・コンセント(十分な説明を受けた上での同意)を無効化してしまうといいます。複数のツールでは、エージェントがファイルを機密性の高い場所へと解決していたにもかかわらず、承認ダイアログには無害なファイル名しか表示されず、開発者は実際には見えていない編集内容を承認させられていたのです。
AIコーディングエージェントの乗っ取りに関する詳細はこちら: 新たな「Agentjacking」攻撃がAIコーディングエージェントを乗っ取る可能性
修正済み、沈黙、そして見解の相違
Wizによると、2026年初頭にGhostApprovalを6社すべてのベンダーに報告したとのことです。
Amazon、Google、Cursorはこれを脆弱性として扱い、修正版を提供しました。CursorはこQの欠陥に対してCVE-2026-50549を発行しています。
AugmentとWindsurfは報告を認めたものの、本記事の公開時点では音沙汰がなく修正も行われておらず、両サービスの利用者は依然としてリスクにさらされている可能性があります。
Anthropicは、Claude Codeの挙動が脆弱性に該当するという見方に異議を唱えました。同社は、あるディレクトリを信頼し編集を承認したユーザー自身がその判断の責任を負うものであり、このシナリオは「自社の脅威モデルの範囲外」であると主張しています。
Wizは、GhostApprovalを個別のバグというよりも、業界がまだ結論を出していない設計上の課題として位置づけています。それは、AIコーディングツールが欺瞞的なワークスペースからユーザーを守るべきなのか、それともその判断をユーザー自身に委ねるべきなのか、という問題です。
ベンダー各社への提言として、Wizは承認を求める前にシンボリックリンクを解決しておくこと、そしてプロジェクトの範囲外に及ぶ書き込みにはフラグを立てることを挙げています。
一方、AugmentやWindsurfを利用している開発者は、今後のアップデートに注意を払う必要があります。
翻訳元: https://www.infosecurity-magazine.com/news/ghostapproval-flaw-ai-coding/