ช่องโหว่ GhostApproval Symlink ทำให้ AI Coding Assistant รันโค้ดอันตรายได้

ที่มาภาพ: The Hacker News

Security-อ่าน 6 นาทีThe Hacker News

ช่องโหว่ GhostApproval Symlink ทำให้ AI Coding Assistant รันโค้ดอันตรายได้

⚡ สรุป 30 วิ

นักวิจัยจาก Wiz ค้นพบช่องโหว่ประเภท symlink ใน AI coding assistants หกตัวยอดนิยม รวมถึง Amazon Q Developer และ Claude Code…

Lead – นักวิจัยจากบริษัท Wiz พบช่องโหว่ประเภท symlink ในเครื่องมือช่วยเขียนโค้ดด้วย AI จำนวนหกตัวที่ได้รับความนิยม ได้แก่ Amazon Q Developer, Claude Code ของ Anthropic, Augment, Cursor, Google Antigravity และ Windsurf ตามรายงานนี้ ช่องโหว่ทำให้ผู้โจมตีสามารถใส่โครงการโค้ดที่มีอาวุธซ่อนอยู่เพื่อควบคุมเครื่องของนักพัฒนาโดยไม่ถูกตรวจจับ

Overview

การโจมตีแบบ GhostApproval ใช้กลไกขออนุญาตแก้ไขไฟล์ที่ดูเหมือนไร้ภัย แต่เมื่อผู้ใช้ให้สิทธิ์ ระบบจะทำการเขียนลงไฟล์ที่เชื่อมโยงผ่าน symlink ไปยังตำแหน่งสำคัญของระบบปฏิบัติการ ตัวอย่างเช่น การเปลี่ยนค่าใน /etc/passwd** หรือสคริปต์เริ่มต้นของเซิร์ฟเวอร์ ซึ่งอาจทำให้ผู้โจมตีได้สิทธิ์ระดับราก (root) หรือเรียกใช้โค้ดใด ๆ ตามต้องการ

ตามที่ทีมวิจัยระบุ กระบวนการทำงานของ AI coding assistant จะดาวน์โหลดไฟล์จาก repository ที่ผู้พัฒนานำเข้ามา แล้วตรวจสอบว่าต้องแก้ไขไฟล์ใดโดยอิงจากคำสั่งของผู้ใช้ หากไฟล์ดังกล่าวเป็น symlink ไปยังตำแหน่งอื่น การเขียนจะแทนที่ข้อมูลสำคัญโดยไม่ได้รับการแจ้งเตือน ผู้ใช้เพียงยืนยัน “อนุญาตให้แก้ไข” ก็พอให้โค้ดอันตรายทำงานได้

Vulnerability Details

ช่องโหว่นี้เป็นรูปแบบของ symlink attack ที่มักพบในระบบไฟล์ UNIX‑like ซึ่งการสร้าง symbolic link ชี้ไปยังไฟล์หรือไดเรกทอรีอื่นทำให้แอปพลิเคชันที่ไม่ได้ตรวจสอบเส้นทางอย่างละเอียดเขียนข้อมูลผิดตำแหน่ง การจัดการไฟล์โดย AI agents ที่เน้นความรวดเร็วและอัตโนมัติจึงเป็นเป้าหมายง่าย เนื่องจากขั้นตอนยืนยัน (approval) มักทำแบบ “single‑click” เท่านั้น

Wiz รายงานว่าเครื่องมือทั้งหมดที่ตรวจพบมีลักษณะการทำงานคล้ายกัน คือให้ผู้ใช้เลือกไฟล์เป้าหมายผ่าน UI แล้วส่งคำสั่งแก้ไขไปยัง backend ของ AI ที่ทำหน้าที่เขียนโค้ด การตรวจสอบ symlink ก่อนเขียนไม่ได้ถูกนำมาใช้อย่างทั่วถึง ทำให้ช่องโหว่นี้สามารถแทรกซึมได้ในหลายขั้นตอนของ workflow

นอกจากนี้ นักวิจัยยังชี้ว่าการใช้ repository ภายนอกที่ไม่ได้รับการตรวจสอบความปลอดภัยเพิ่มความเสี่ยง เนื่องจากผู้โจมตีอาจฝัง symlink ไว้ภายในโครงการโดยตรง ทำให้แม้แต่ผู้พัฒนาที่เชื่อมั่นในแหล่งข้อมูลเปิดก็ตาม เสี่ยงต่อการถูกควบคุมระบบ

Affected Tools

  • Amazon Q Developer
  • Claude Code (Anthropic)
  • Augment
  • Cursor
  • Google Antigravity
  • Windsurf

เครื่องมือเหล่านี้ครอบคลุมผู้ให้บริการ AI coding assistant จากหลายบริษัทระดับโลก ทำให้ปริมาณนักพัฒนาที่อาจได้รับผลกระทบอยู่ในระดับหลายแสนคน การที่ฟีเจอร์ “auto‑fix” หรือ “suggested edit” ถูกเปิดใช้โดยอัตโนมัติยิ่งเพิ่มความสำคัญของการตรวจสอบโค้ดจากแหล่งภายนอก

Security Implications

ตามข้อมูลของ Wiz, หากโจมตีสำเร็จ ผู้กระทำผิดสามารถรันสคริปต์ระดับระบบบนเครื่องของนักพัฒนาได้ทันที ซึ่งอาจนำไปสู่การขโมยข้อมูลส่วนบุคคล การติดตั้งแบ็คดอร์ หรือแม้แต่การสร้าง botnet ใหม่จากเครื่องที่ได้รับการควบคุม นอกจากนี้ เนื่องจาก AI assistants มีแนวโน้มจะถูกใช้ใน CI/CD pipeline ขององค์กร ช่องโหว่เดียวอาจส่งผลกระทบต่อกระบวนการปล่อยซอฟต์แวร์ทั้งหมด

ผู้เชี่ยวชาญด้านความปลอดภัยได้นำเสนอว่าการใช้เครื่องมือ AI ในการเขียนโค้ดยังคงต้องพิจารณาความเสี่ยงจาก “trust‑boundary” อย่างรอบคอบ การให้สิทธิ์แก้ไขไฟล์โดยอัตโนมัติกับโปรเจกต์ที่มาจากแหล่งภายนอกควรถูกจำกัด หรืออย่างน้อยต้องมีการตรวจสอบเชิงลึกก่อนทำการเขียน

Recommendations

Wiz แนะนำให้ผู้ผลิต AI coding assistant ปรับปรุงระบบยืนยันโดยเพิ่มขั้นตอนตรวจสอบ symlink ก่อนทำการเขียนไฟล์ และแสดงเส้นทางเต็มของไฟล์ที่กำลังจะถูกแก้ไขต่อผู้ใช้เพื่อความโปร่งใส นอกจากนี้ ควรจัดทำ policy ที่บังคับให้โครงการที่นำเข้าเข้ามาผ่านกระบวนการสแกนความปลอดภัย (static analysis) ก่อนใช้งาน

สำหรับนักพัฒนาที่ใช้เครื่องมือเหล่านี้ควรตรวจสอบและปิดฟีเจอร์อัตโนมัติที่อนุญาตให้ AI เขียนไฟล์โดยตรง หากต้องใช้โค้ดจาก repository ภายนอก ควรทำการ clone ไปยังระบบแยก (sandbox) เพื่อตรวจสอบ symlink หรือไฟล์ที่น่าสงสัยก่อนนำเข้ากระบวนการพัฒนา

Summary

ช่องโหว่ GhostApproval ที่พบในหก AI coding assistant ชั้นนำ ทำให้ผู้โจมตีสามารถใช้ symlink เพื่อเขียนไฟล์สำคัญโดยไม่ได้รับการแจ้งเตือน นักวิจัยจาก Wiz แนะนำให้เพิ่มขั้นตอนตรวจสอบและกำหนดนโยบายความปลอดภัยเพื่อป้องกันการละเมิดในอนาคต.

แชร์บทความนี้:

ชอบบทความแบบนี้?

สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม

แหล่งข่าวต้นฉบับ

ชื่อต้นฉบับ
GhostApproval Symlink Flaws Could Let Malicious Repos Run Code in AI Coding Agents
ผู้เขียน
[email protected] (The Hacker News)
แหล่ง
The Hacker News
วันที่เผยแพร่
9 กรกฎาคม 2569 เวลา 11:27

Related

บทความที่เกี่ยวข้อง

GitHub ปรับ actions/checkout เวอร์ชัน 7 เพื่อบล็อกการโจมตีแบบ pwn requestSecurity
25 มิถุนายน 2569 เวลา 06:30

GitHub ปรับ actions/checkout เวอร์ชัน 7 เพื่อบล็อกการโจมตีแบบ pwn request

GitHub ปรับปรุง actions/checkout เวอร์ชัน 7 ให้บล็อก workflow ที่ดึงโค้ดจากฟอร์กที่ยังไม่ได้ตรวจสอบเมื่อใช้ pull_request_target หรือ workflow_run…

InfoWorld8 นาที
เปิดเผยช่องโหว่ Squidbleed อายุ 29 ปี รั่วข้อมูล HTTP แบบ plaintext ผ่านพร็อกซี่เดียวกันSecurity
24 มิถุนายน 2569 เวลา 20:00

เปิดเผยช่องโหว่ Squidbleed อายุ 29 ปี รั่วข้อมูล HTTP แบบ plaintext ผ่านพร็อกซี่เดียวกัน

นักวิจัยจาก Calif.io พบช่องโหว่ heap over‑read ใน Squid ชื่อ Squidbleed ซึ่งอายุ 29 ปี ทำให้ผู้ใช้ที่แชร์พร็อกซี่เดียวกันสามารถดึงข้อมูล HTTP แบบ plaintext…

The Hacker News6 นาที
เว็บบินาร์สำรวจวิธีโจมตีหลบ MFA ด้วยฟิชชิงและแนวทางตอบโต้ด้วยพฤติกรรม AISecurity
21 มิถุนายน 2569 เวลา 06:30

เว็บบินาร์สำรวจวิธีโจมตีหลบ MFA ด้วยฟิชชิงและแนวทางตอบโต้ด้วยพฤติกรรม AI

การโจมตีแบบฟิชชิงล่าสุดใช้ Device Code เพื่อหลบ MFA ทำให้ผู้โจมตีเข้าถึงบัญชีโดยไม่ต้องขโมยรหัสผ่าน เว็บบินาร์แนะนำการใช้พฤติกรรม AI…

BleepingComputer6 นาที
Ladybird Browser ห้ามรับ Pull Request สาธารณะ เนื่องจากคว…Security
9 มิถุนายน 2569 เวลา 08:30

Ladybird Browser ห้ามรับ Pull Request สาธารณะ เนื่องจากคว…

Ladybird Browser ประกาศระงับการรับ pull request สาธารณะทั้งหมด เนื่องจากความเสี่ยงด้านความปลอดภัยจากโค้ดที่สร้างโดย AI…

XDA Developers8 นาที
คัดลอกลิงก์แล้ว!