Une faille expose six assistants de codage IA

D'après The Hacker News (9 juillet 2026 à 02h00)

Résumé

Des chercheurs de Wiz ont identifié GhostApproval, une faille de symlink dans six assistants de codage IA permettant à des dépôts malveillants d’écrire dans des fichiers sensibles.

Les faits

Des chercheurs de Wiz ont mis au jour une vulnérabilité dans six assistants de codage IA populaires, qui permet à un projet piégé de prendre discrètement le contrôle de l’ordinateur d’un développeur. L’agent demande l’autorisation de modifier un fichier en apparence anodin, mais l’écriture cible en réalité un fichier sensible hors du projet. Les outils concernés sont Amazon Q Developer, Claude Code d’Anthropic, Augment, Cursor, Google Antigravity et Windsurf. Wiz a baptisé ce schéma « GhostApproval » et l’a publié le 8 juillet, en précisant qu’il s’agit d’un abus de liens symboliques Unix que les assistants ne vérifient pas avant d’écrire. Dans sa démonstration, Wiz construit un dépôt malveillant contenant un lien symbolique nommé project_settings.json qui pointe en fait vers le fichier d’authentification SSH ~/.ssh/authorized_keys. Le README du dépôt demande à l’assistant d’ajouter « une ligne » à project_settings.json, qui n’est autre que la clé SSH de l’attaquant déguisée en paramètre inoffensif. Dès que l’agent est invité à « configurer l’espace de travail » ou à « suivre le README », il écrit cette clé au travers du symlink dans le fichier de connexion. Une variante consiste à rediriger l’écriture vers le fichier de démarrage du shell ~/.zshrc, exécuté à chaque ouverture de terminal, ce qui évite même de dépendre d’un service SSH. Wiz souligne qu’il n’existe à ce stade aucun signe d’exploitation réelle : la démarche est présentée comme une recherche. Le cœur du problème réside dans la boîte de confirmation, qui masque la véritable cible. Lors des tests de Claude Code, Wiz observe que l’agent avait identifié le fichier réel dans son raisonnement, notant que project_settings.json était « en réalité un fichier de configuration zsh ». Pourtant, la boîte soumise au développeur ne mentionnait que le fichier anodin, ce que Wiz décrit comme un contournement du « consentement éclairé ». Certains outils vont plus loin en omettant complètement la porte de contrôle. Windsurf écrit le fichier sur le disque avant même l’apparition des boutons Accept et Reject, transformant le dialogue en simple bouton d’annulation alors que la clé est déjà en place. Augment ne montre aucun dialogue et Wiz le démontre en lisant silencieusement un fichier de credentials AWS situé hors du projet, tandis que les outils qui gardent une invite ne sont pas plus sûrs puisqu’elle affiche le mauvais chemin. Wiz a signalé l’issue aux six éditeurs et dresse un état des lieux au moment de la publication. Amazon Q Developer est corrigé dans le Language Server 1.69.0 (CVE-2026-12958) et Cursor dans la version 3.0 (CVE-2026-50549), tandis que Google Antigravity est annoncé comme corrigé avec un identifiant CVE en attente. Augment et Windsurf ont reconnu le problème mais n’ont pas encore livré de correctif, avec une recommandation explicite de ne pas les pointer vers des dépôts non fiables. Anthropic, de son côté, conteste la qualification de bug pour Claude Code. L’entreprise estime que le scénario décrit est « hors de notre modèle de menace » : le développeur a choisi de faire confiance au dossier en lançant la session, puis a approuvé la modification, ce qui en fait selon elle une décision utilisateur. Anthropic indique aussi que l’avertissement spécifique de Claude Code sur les symlinks a été déployé début février, avant le rapport privé de Wiz, dans le cadre d’un durcissement routinier plutôt que d’un correctif ciblé.

Pourquoi c’est important

Cette affaire illustre le basculement des risques de sécurité dans les environnements de développement pilotés par IA. GhostApproval ne repose pas sur une technique nouvelle, mais sur la manière dont les agents de codage gèrent la confiance et l’interface de consentement, en laissant des dépôts malveillants détourner des opérations apparentes de configuration vers des fichiers critiques comme les clés SSH ou les scripts de démarrage du shell. Au-delà des correctifs en cours, l’incident pose une question de fond sur la responsabilité des assistants de codage IA face à des repositories déjà jugés « dignes de confiance » par le développeur. Wiz résume ce débat en interrogeant jusqu’où un agent doit aller pour protéger un utilisateur qui a cloné un dépôt piégé et validé une modification. Les pratiques préconisées – exécuter l’agent avec des droits de fichier limités, dans un sandbox ou un container, inspecter README et fichiers cachés avant de « configurer » un projet, puis vérifier les fichiers hors projet comme ~/.zshrc, les clés SSH et la configuration de l’outil IA – deviennent des réflexes indispensables pour sécuriser l’adoption de ces outils.

Questions fréquentes

Quels assistants de codage IA sont concernés par GhostApproval ?

Amazon Q Developer, Claude Code, Augment, Cursor, Google Antigravity et Windsurf sont mentionnés comme vulnérables au schéma GhostApproval.

Comment fonctionne l’attaque GhostApproval par symlink ?

Un dépôt malveillant contient un symlink nommé project_settings.json qui pointe vers ~/.ssh/authorized_keys ou ~/.zshrc, l’agent écrivant alors dans le fichier sensible.

Des correctifs sont-ils déjà disponibles pour cette faille ?

Oui, Amazon Q Developer, Cursor et Google Antigravity sont annoncés comme corrigés, tandis qu’Augment et Windsurf n’ont pas encore de correctif.

Anthropic considère-t-elle GhostApproval comme un bug de Claude Code ?

Non, Anthropic affirme que le scénario est « hors de notre modèle de menace » et s’appuie sur un avertissement symlink déjà présent dans Claude Code.

Quelles mesures de prudence les développeurs peuvent-ils adopter ?

Limiter l’accès aux fichiers de l’agent, utiliser sandbox ou containers, lire README et fichiers cachés avant la configuration et vérifier les fichiers hors projet ciblés.

Source

The Hacker News

Auteur

Rédaction IA-Medias

Rédaction spécialisée dans la veille et l'analyse de l'actualité de l'intelligence artificielle, des puces IA, des robots, des agents IA et de la recherche.