15小时前·The Register
顶级AI编程助手漏洞揭示:Unix时代的头疼问题从未真正消失The Register深度分析指出,至少六款主流AI编程助手存在"系统性漏洞模式",攻击者可利用符号链接诱骗AI代理访问工作区沙箱外的文件,导致远程代码执行。这一发现表明Unix时代的安全隐患在AI时代依然存在。(据The Register 2026年7月8日报道)
每日精选 AI 行业动态,点开标题可直达原文出处。
The Register深度分析指出,至少六款主流AI编程助手存在"系统性漏洞模式",攻击者可利用符号链接诱骗AI代理访问工作区沙箱外的文件,导致远程代码执行。这一发现表明Unix时代的安全隐患在AI时代依然存在。(据The Register 2026年7月8日报道)
安全公司Wiz研究团队发现名为"GhostApproval"的系统性漏洞,利用Unix符号链接技巧可诱使Amazon Q、Cursor等六大AI编程代理在沙箱外写入文件,甚至将恶意代码写入SSH密钥或Shell启动文件。该漏洞揭示了AI编程工具在安全设计上的根本性缺陷。(据The Next Web 2026年7月8日报道,作者Wiz Research Team)
Wiz安全研究团队披露GhostApproval漏洞详情:恶意代码仓库可通过符号链接技巧,使AI编程代理在显示良性路径的同时,将恶意代码写入SSH密钥或Shell启动文件,从而完全控制开发者环境。该漏洞影响六款主流AI编程助手。(据The Hacker News 2026年7月8日报道)