7月10日、Dark Web Informerが「GhostApproval Flaw Exposes Trust Boundary Weakness in Major AI Coding Assistants」と題した記事を公開した。セキュリティ企業Wizの研究チームが発見・開示した脆弱性パターン「GhostApproval」は、主要AIコーディングアシスタント6製品に影響し、シンボリックリンクを悪用してワークスペース外の任意ファイルに書き込みを誘導できる実装上の欠陥だ。
承認ダイアログに「本当の書き込み先」が表示されなかった
Wizの研究チームが発見・開示したGhostApprovalは、AIコーディングアシスタントがシンボリックリンク(symlink)を処理する際の信頼境界の欠陥を突く脆弱性パターンだ。影響を受けるツールは以下の6製品:
- Amazon Q Developer
- Anthropic Claude Code
- Augment
- Cursor
- Google Antigravity(GoogleのAIコーディングアシスタント)
- Windsurf
攻撃シナリオはシンプルだ。悪意のあるリポジトリに、通常のプロジェクトファイルに見えるが実はワークスペース外を指すシンボリックリンクを仕込んでおく。AIエージェントがそのファイルへの書き込みを実行すると、OSはシンボリックリンクを解決し、実際の書き込みはワークスペース外の任意のファイルに対して行われる。
Wizが示した具体例では、無害に見えるconfigファイルが~/.ssh/authorized_keysを指すシンボリックリンクになっており、エージェントが攻撃者の制御する公開鍵をそこに書き込む——という経路で、開発者マシンへのパスワードなし永続アクセスが成立する。
問題の核心は「シンボリックリンクを辿った」ことだけではない。Wizの調査によれば、ユーザーに表示される承認プロンプトに本当の書き込み先パスが表示されていなかったケースが複数確認された。これは意図的な設計ではなく実装上の欠陥であり、ユーザーは「プロジェクト内の普通のファイル編集」を承認しているつもりが、実際にはワークスペース外の機密ファイルへの書き込みを許可していることになる。
これは「ヒューマン・イン・ザ・ループ」という安全機構を事実上無効化する。表示された情報が不完全なら、承認行為はインフォームドコンセントではなく、単なるゴム印(rubber stamp)にすぎない。
各ベンダーの対応はまちまち
Wizの研究チームは各ベンダーに対して責任ある開示(Responsible Disclosure)を行った。対応状況は以下のとおりだ。
修正済み:
- AWS(Amazon Q Developer):本稿執筆時点で元記事に記載されているCVE番号CVE-2026-12958を割り当て、修正済み
- Cursor:同じく元記事記載のCVE番号CVE-2026-50549を割り当て、修正済み
- Google(Antigravity):修正済み、CVEの発行は開示時点で検討中
対応が遅れたケース:
- Anthropic(Claude Code):当初、「ユーザーはすでにディレクトリを信頼しておりファイル操作を承認しているため、自社の脅威モデルの範囲外」として初期報告を否定した。ただし現在のClaude Codeは機密ファイルへの書き込み前にシンボリックリンク警告を表示する。Anthropicは「この警告はWizが報告を提出する前にすでに出荷されており、プロアクティブな強化の一環」と説明している。
- Augment・Windsurf:開示時点では対応が進行中。
AIコーディングエージェントは「単なるオートコンプリート」ではない
今回の問題が重要なのは、AIコーディングツールが持つアクセス権限の広さにある。これらのツールは一般的に、ユーザーの権限でソースコード、認証情報、ローカルファイル、クラウド接続された開発環境に対して読み取り・書き込み・実行・変更を行うことができる。
なお、The Registerの報道によれば、GhostApprovalが実際に野放しで悪用された証跡は現時点では確認されていない。
Wizが推奨する対策は以下のとおりだ:
- 影響を受けるツールを最新版に更新する
- 信頼できないリポジトリに対してエージェントを実行しない
- 機密ファイルへの予期しない書き込みを監視する
- 承認プロンプトが「見かけ上のファイル名」ではなく「解決済みの実際のパス」を表示していることを確認する
最後の点が本質だ。本当の書き込み先が表示されない承認プロンプトは、意味のあるコンセントを担保できない。
詳細はGhostApproval Flaw Exposes Trust Boundary Weakness in Major AI Coding Assistantsを参照していただきたい。