Badacze z firmy Wiz znaleźli jeden prosty trik oparty na symlinkach, który skutecznie rozbija systemy bezpieczeństwa aż sześciu popularnych agentów kodowania AI - w tym Amazon Q, Cursor, Claude, ChatGPT, Gemini oraz inne narzędzia wspierające automatyczne pisanie kodu. Metoda polega na stworzeniu pułapki w repozytorium, która omija prompty bezpieczeństwa agenta, otwierając drogę do przejęcia kontroli nad maszyną dewelopera.
Użyta technika sięga czasów wczesnego Uniksa i opiera się na tradycyjnych mechanizmach systemu plików. Atakujący może zainstalować złośliwy klucz lub inny payload, który następnie daje mu dostęp do maszyny developera. To pokazuje fundamentalny problem - niezależnie od zaawansowania modelu AI, narzędzia te mogą być łatwo oszukane, jeśli będą pracować z niedostatecznie walidowanymi danymi wejściowymi z repozytorium.
Odkrycie jest ważne, ponieważ coraz więcej zespołów programistycznych adoptuje agentów kodowania jako integralną część swojego workflow'u. Luka w bezpieczeństwie oznacza, że złośliwe repozytoria mogą stanowić wektor ataku na infrastrukturę developerów. Badania Wiz podkreślają, że bezpieczeństwo AI agentów nie może polegać wyłącznie na treningowych promptach, ale wymaga także głębokich zmian architektury i walidacji kontekstu, w którym działa agent.