Hands typing on laptop with futuristic AI hologram interface, machine learning code, data processing, automation concept.
Resumo: Pesquisadores da Wiz (Google Cloud) divulgaram uma tecnica de ataque batizada de GhostApproval que engana assistentes de IA para desenvolvedores — Claude Code, Amazon Q Developer, Cursor, Google Antigravity, Augment e Windsurf — usando uma vulnerabilidade classica de systems Unix: o symlink following. Ao seguir links simbolicos plantados em repositorios, os agentes gravam ou leem arquivos fora do escopo autorizado pelo usuario, permitindo comprometer a maquina do desenvolvedor. Google, Anthropic, Cursor e Amazon ja aplicaram mitigacoes; Augment e Windsurf ainda nao.
A Wiz publicou os detalhes tecnicos em relatorio divulgado nesta quarta-feira. A tecnica GhostApproval leva a uma classe de bug conhecida ha decadas em ambientes Unix — o symbolic link following — e a transporta para o novo ecossistema de agentes de codigo que operam com privilegios elevados no filesystem local. Em um assistente moderno, quando o desenvolvedor autoriza a leitura ou escrita de um arquivo dentro do repositorio, essa autorizacao pode ser aplicada ao alvo do symlink — nao ao arquivo declarado no path.
Ou seja: basta plantar um arquivo README.md que na verdade e um symlink para ~/.ssh/id_rsa. O usuario aprova “editar README.md”; o agente segue o link e opera sobre a chave privada. Na variacao ofensiva completa, o atacante consegue exfiltrar segredos, injetar codigo em arquivos fora do repositorio e ate manipular arquivos de configuracao como ~/.bashrc ou ~/.aws/credentials.
A cadeia de exploracao segue o padrao classico do TOCTOU (time-of-check to time-of-use): o agente valida o caminho autorizado pelo usuario, mas ao abrir de fato o arquivo, o sistema operacional resolve o symlink para o alvo real. Como o agente ja possui aprovacao para “aquele caminho”, nao ha novo prompt de confirmacao. A Wiz demonstra tres vetores praticos:
“O comportamento de seguir symlinks e um padrao do sistema operacional. O que muda com agentes de IA e que a decisao de escrever no arquivo ja nao passa por revisao humana consciente — ela e delegada para um assistente com privilegios amplos.” — Wiz Research
A vulnerabilidade e conhecida em drivers, servicos e utilitarios Unix desde os primeiros dias do Unix. Ha CVEs documentados desde os anos 1990 relacionados a race conditions em programas com privilegios elevados. O que o time da Wiz demonstrou e a translacao dessa classe de bug para o novo dominio de agentes de IA — uma camada de risco que nao esta prevista nos modelos de ameaca da maioria dos fornecedores de assistentes.
O impacto direto atinge equipes de engenharia que integraram agentes de IA no fluxo diario — o pior cenario e um desenvolvedor abrir um repositorio malicioso do GitHub (fork envenenado, contribuicao maliciosa aceita em um workshop, projeto tutorial baixado por engano) e autorizar acoes rotineiras do agente. Em segundos, chaves SSH, tokens de API, credenciais AWS ou dados pessoais podem sair da maquina.
GhostApproval e o exemplo mais claro ate agora de que o boom dos agentes de codigo em 2026 abriu uma nova superficie de ataque que combina primitivos antigos com aprovacoes automatizadas. Ha um paralelo com o que vimos nos primeiros anos do npm: um modelo de confianca projetado para produtividade, sem controle rigido de comportamento, colidindo com dependencias e artefatos vindos de fora. O que na era do npm virou “prototype pollution” e “supply-chain attack”, na era dos agentes ganha rotulo de “prompt approval bypass”.
O padrao adotado por Anthropic, Google, Cursor e Amazon aponta para o desenho correto: resolver o path para o alvo real antes da aprovacao, e re-verificar se ainda esta dentro do escopo autorizado. Sem isso, qualquer agente que acessa o filesystem local esta expondo credenciais a um bug conhecido ha 30 anos. A resposta relativamente rapida dos vendors mostra que a industria entendeu a gravidade — mas Augment e Windsurf permanecem em risco.
$HOME do usuario nem a ~/.ssh, ~/.aws, ~/.configcore.symlinks=false em maquinas que rodam agentes com privilegioFonte: SecurityWeek
Bruxelas admite que 70% da nuvem europeia esta em maos estrangeiras e responde com nove…
Nova familia GodDamn, rebrand de Beast/Monster, chega com driver kernel PoisonX que silencia EDRs. Symantec…
PL 762/2026 e PL 704/2026 ao lado do PL 2338 desenham a nova regulação de…
ROMA da Sentient AGI usa decomposição recursiva com Atomizer/Planner/Executor/Aggregator e supera baselines em SEAL-0, FRAMES…
Co-Scientist do DeepMind sai da demo, ganha paper na Nature e abre acesso via Gemini…
Vera Rubin NVL72 em produção: 10x menos custo por token e 4x menos GPUs para…