タグ: シンボリックリンク

infosecurity-magazine.com

GhostApprovalの欠陥、6つの主要AIコーディングアシスタントに影響

6つの主要なAIコーディングアシスタントに共通する欠陥が見つかりました。この欠陥は承認プロンプトを単なる形式的な儀式に変えてしまい、悪意あるリポジトリが開発者のマシン上の機密ファイルに書き込みを行えるようにするほか、最悪の場合はリモートコード実行にもつながる恐れがあります。 Wiz Researchはこの欠陥を「Gho

cyberpress.org

「GhostApproval」の欠陥、AIコーディングアシスタントにワークスペースサンドボックス外へのファイル書き込みを許してしまう

GhostApprovalと名付けられた新たに公表された脆弱性パターンが、主要なAIコーディングアシスタント6製品に影響を及ぼしています。悪意あるリポジトリを利用してエージェントを騙し、本来の作業ワークスペースサンドボックスの外にファイルを書き込ませることが可能で、開発者のマシンでリモートコード実行につながる恐れがあ

theregister.com

大手AIコーディングエージェントに見つかったバグが示す、Unix時代からのセキュリティ問題が今なお生き続ける現実

広く使われているAIコーディングアシスタントのうち少なくとも6製品に「体系的な脆弱性パターン」が存在し、これを悪用するとエージェントを騙してワークスペースのサンドボックス外にあるファイルにアクセスさせ、最終的には開発者のマシン上でリモートコード実行に至る可能性があることが分かりました。Google傘下のセキュ

securityweek.com

「SymJack」攻撃:AIコーディングエージェントをサプライチェーン攻撃の配送システムに変える

信頼と自動化は多くの攻撃において重要な要素であり、AIコーディングエージェントの利用にはその両方が本質的に備わっている。 悪意のあるリポジトリは多くのサプライチェーン攻撃において頻繁に関与しており、その割合は20〜40%と推定されている。こうしたリポジトリは、AIコーディングエージェントを使用する開発者を騙して不正な