Turvaettevõte Wiz avastas süsteemse turvanõrkuse vähemalt kuues laialt kasutatavas tehisintellekti (AI) kooditööriistas, mis võimaldab ründajatel pääseda ligi failidele väljaspool tööruumi liivakasti ja käivitada arendaja masinas pahatahtlikku koodi. Turvaauk sai nimeks GhostApproval ning sellest teavitati järgmisi tööriistu: Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity ja Windsurf.
Amazon, Cursor ja Google hindasid vea kriitiliseks või kõrge raskusastmega ning parandasid selle, väljastades või taotledes CVE-jälgijat. Augment ja Windsurf tunnistasid raportit, kuid ei ole veel turvapaika väljastanud. Anthropic pidas viga oma ohumudelist väljapoole jäävaks ega võtnud midagi ette.
Probleem tuleneb sümbolviidete (symlinks) vanast turvanõrkusest. Ründaja loob pahatahtliku repositooriumi, kus konfiguratsioonifail on tegelikult sümbolviide näiteks failile ~/.ssh/authorized_keys. Kui ohver palub AI-agendil tööruumi seadistada, kirjutab agent ründaja SSH-võtme ohvri masinasse, andes talle püsiva paroolita ligipääsu. Wizi hinnangul tuleb ka uute AI-arhitektuuride juures järgida klassikalisi turvapõhimõtteid, sealhulgas sümbolviidete lahendamist enne failitoiminguid.