Lỗ hổng GhostApproval: Các AI Coding Agent có thể bị lợi dụng để thực thi mã độc
Các nhà nghiên cứu từ Wiz vừa phát hiện lỗ hổng GhostApproval trên 6 công cụ hỗ trợ lập trình AI phổ biến, cho phép kẻ tấn công ghi đè lên các tệp tin nhạy cảm trên máy tính của lập trình viên thông...
Các nhà nghiên cứu tại Wiz vừa công bố một lỗ hổng bảo mật nghiêm trọng có tên là GhostApproval, ảnh hưởng đến 6 công cụ hỗ trợ lập trình AI (AI coding assistants) phổ biến. Lỗ hổng này cho phép các dự án mã nguồn độc hại chiếm quyền kiểm soát máy tính của lập trình viên bằng cách đánh lừa cơ chế xác thực quyền truy cập tệp tin.
Table Of Content
Cơ chế tấn công GhostApproval
Kỹ thuật này lợi dụng tính năng symbolic link (symlink) trong hệ điều hành Unix. Thay vì chỉnh sửa tệp tin thông thường như yêu cầu, AI sẽ bị dẫn dụ ghi dữ liệu vào một tệp tin nhạy cảm khác thông qua liên kết ảo này.
Cụ thể, kẻ tấn công tạo ra một repository chứa symlink trỏ đến các tệp tin quan trọng như ~/.ssh/authorized_keys (để chiếm quyền truy cập SSH) hoặc ~/.zshrc (để thực thi mã độc khi mở terminal). Khi lập trình viên yêu cầu AI “thiết lập môi trường” hoặc “đọc file cấu hình”, AI sẽ vô tình ghi đè khóa SSH của kẻ tấn công vào tệp tin hệ thống mà không hề hay biết.
Sự sai lệch trong thông báo xác nhận
Vấn đề cốt lõi không chỉ nằm ở symlink mà còn ở cách các công cụ AI hiển thị thông báo xác nhận cho người dùng. Trong nhiều trường hợp, AI đã nhận diện được tệp tin đích thực sự, nhưng thông báo hiển thị trên màn hình lại chỉ đề cập đến tệp tin “vô hại”. Điều này tạo ra một dạng informed-consent bypass (vượt qua sự đồng thuận có hiểu biết), khiến lập trình viên tin rằng họ đang phê duyệt một thay đổi an toàn.
Một số công cụ thậm chí còn thực hiện ghi dữ liệu trước khi người dùng kịp nhấn nút xác nhận, biến các nút “Chấp nhận/Từ chối” trở nên vô nghĩa.
Các công cụ bị ảnh hưởng và trạng thái cập nhật
Dưới đây là danh sách các công cụ bị ảnh hưởng và tình trạng xử lý tính đến thời điểm hiện tại:
- Amazon Q Developer: Đã vá (CVE-2026-12958). Người dùng nên cập nhật lên phiên bản mới nhất.
- Cursor: Đã vá (CVE-2026-50549). Cập nhật thông qua extension manager.
- Google Antigravity: Đã vá.
- Augment: Đã xác nhận lỗ hổng, chưa có bản vá.
- Windsurf: Đã xác nhận lỗ hổng, chưa có bản vá.
- Anthropic Claude Code: Phía Anthropic cho rằng đây nằm ngoài mô hình đe dọa của họ và không coi đây là một lỗi bảo mật.
Khuyến nghị bảo mật
Để tự bảo vệ trước các hình thức tấn công tương tự, các lập trình viên nên:
- Chạy các AI agent trong môi trường sandbox hoặc container được cô lập.
- Hạn chế quyền truy cập tệp tin của các công cụ AI.
- Kiểm tra kỹ các tệp tin cấu hình và README của các dự án lạ trước khi cho phép AI can thiệp.
- Thường xuyên kiểm tra các tệp tin nhạy cảm như
~/.ssh/authorized_keyshoặc~/.zshrcđể phát hiện các thay đổi bất thường về thời gian chỉnh sửa (timestamp).
Các chuyên gia khuyến cáo các nhà phát triển công cụ AI cần thực hiện giải mã symlink và hiển thị đường dẫn thực tế trước khi yêu cầu người dùng phê duyệt, đồng thời cảnh báo nếu bất kỳ thao tác ghi nào nằm ngoài phạm vi thư mục dự án.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.