Angrepet, som sikkerhetsselskapet Wiz kaller GhostApproval, ble testet mot Claude Code, Amazon Q Developer, Cursor, Google Antigravity, Augment og Windsurf. Kjernen er symbolske lenker: en fil i et tilsynelatende harmløst repo ser ut som en vanlig prosjektfil, men peker i virkeligheten til en sensitiv plassering utenfor arbeidsområdet. Ber du agenten redigere fila, følger den lenka og skriver til målet angriperen har valgt.
Symlink-svakheten har vært kjent siden de tidlige Unix-dagene. Det farlige er ikke lenka alene, men at sikkerhetsnettet svikter. Flere av verktøyene har nettopp bekreftelsesdialoger som skal fange opp slike skrivinger og be deg om lov. Problemet er at dialogen viser den tilsynelatende lokale endringen, ikke den faktiske målstien. Du godkjenner noe som ser ufarlig ut, mens agenten i det stille endrer systemfiler. Ifølge Wiz kan det gi angriperen kjøring av vilkårlig kode på utviklerens maskin.
«Feilen er ikke bare at symlinken følges. Det er at grensesnittet ikke avslører det egentlige målet.» — Wiz-forskerne
«Menneske-i-løkka-modellen virker bare hvis løkka gir riktig informasjon. Når en agent viser én ting og gjør en annen, blir godkjenningen din meningsløs.» — Wiz
Wiz rapporterte funnene til hver leverandør i første kvartal 2026. AWS, Google og Cursor bekreftet sårbarheten og rullet ut rettelser. Anthropic regner det ikke som en sårbarhet, men sier selskapet la inn tiltak mot slike angrep før rapporten. Augment og Windsurf har bekreftet å ha mottatt varselet, men har ennå ikke sluppet fikser.
For deg som kjører en KI-agent lokalt er dette en påminnelse om at bekreftelsesdialogen er verdt akkurat så mye som informasjonen den viser. En agent med skrivetilgang og en villedende sti er nok.
Hva bør du gjøre?
- Oppdater KI-kodeverktøyene dine. Cursor, Amazon Q og Google Antigravity har alt patchet GhostApproval.
- Vær skeptisk til ukjente repoer. Åpner du et fremmed prosjekt i en agent, ikke la den skrive uten at du selv sjekker den kanoniske stien til hver fil.
- Kjør agenter med skrivetilgang i en container eller et avgrenset miljø, ikke direkte mot hjemmekatalogen.