Vulnérabilité Symlink dans six agents de codage permet l'accès à des fichiers arbitraires
heise Developer · 9 juillet 2026
sélectionné par Heiko
Les chercheurs de Wiz ont découvert GhostApproval, une faille critique dans Amazon Q Developer, Claude Code, Augment, Cursor, Google Antigravity et Windsurf. Les attaquants peuvent exploiter les liens symboliques dans des dépôts malveillants pour inciter les agents IA à écrire des fichiers arbitraires, y compris les clés SSH, contournant les restrictions du bac à sable. Des correctifs disponibles pour la plupart des outils; Augment et Windsurf restent non patchés.
Résumé généré par IA (Heiko) · responsable éditorial : J. Fuchs · Traduit automatiquement de l’anglais · Notre usage de l’IA