Im Kern basiert GhostApproval auf einem alten, gut bekannten Mechanismus: der Auflösung symbolischer Links. Dabei platzieren Angreifer in einem auf den ersten Blick unauffälligen Repository einen Symlink, der wie eine normale Projektdatei wirkt, tatsächlich aber auf einen sensiblen Speicherort außerhalb des Arbeitsbereichs zeigt.
Öffnet ein Entwickler dieses Repository in einem KI-Coding-Assistenten und weist das Werkzeug an, Änderungen vorzunehmen, folgt der Assistent laut Wiz dem symbolischen Link und schreibt an die vom Angreifer vorgegebene Zielstelle. Auf diese Weise kann eine beabsichtigte lokale Dateiänderung unbemerkt in eine Manipulation von Systemdateien umschlagen.
Wiz zufolge liegt das Problem nicht nur darin, dass die Werkzeuge Symlinks folgen. Entscheidend sei auch, wie die Benutzeroberfläche mit solchen Schreibzugriffen umgeht. Manche KI-Coding-Tools würden in Bestätigungsdialogen den kanonischen Pfad nicht korrekt auflösen und anzeigen. Dadurch sehe der Nutzer nur eine scheinbar harmlose Änderung im Projekt, während der Agent in Wirklichkeit eine Datei an einem ganz anderen Ort modifiziert.
Die Forscher beschreiben gerade diese Diskrepanz als Schwachpunkt des Sicherheitsmodells mit menschlicher Freigabe. Zwar seien Sandboxes und Rückfragen eigentlich dafür gedacht, genau solche Angriffe zu verhindern. Laut Wiz versagt dieser Schutz jedoch, wenn der Dialog nicht das tatsächliche Ziel offenlegt. Dann werde die Freigabe des Nutzers inhaltlich wertlos, weil das Werkzeug „das eine zeigt und etwas anderes tut“.
Nach Angaben von Wiz wurde die Angriffsmethode erfolgreich gegen Claude Code, Amazon Q Developer, Cursor, Google Antigravity, Augment und Windsurf getestet. Das Unternehmen meldete die Ergebnisse im ersten Quartal 2026 an die jeweiligen Anbieter.
AWS, Google und Cursor bestätigten die Schwachstelle und veröffentlichten Korrekturen. Anthropic betrachtet die Ergebnisse zwar nicht als Schwachstelle, erklärte jedoch, bereits vor dem Hinweis von Wiz Schutzmaßnahmen gegen derartige Angriffe ergänzt zu haben. Augment und Windsurf haben den Eingang der Meldungen laut Wiz bestätigt, bislang aber noch keine Fehlerbehebungen veröffentlicht.
Die technische Ausarbeitung zu GhostApproval hat Wiz am Mittwoch veröffentlicht. Nach Einschätzung des Unternehmens kann der Angriff zu einer Remotecodeausführung auf dem Rechner des betroffenen Entwicklers führen. Damit zeigt der Fall laut Wiz, dass ein seit Jahrzehnten bekanntes Verhalten von Dateisystemen auch in modernen KI-gestützten Entwicklungswerkzeugen sicherheitsrelevant bleibt — insbesondere dann, wenn Schutzmechanismen den tatsächlichen Schreibpfad nicht transparent machen.
