
ที่มาภาพ: The Hacker News
ช่องโหว่ GhostApproval Symlink ทำให้ AI Coding Assistant รันโค้ดอันตรายได้
⚡ สรุป 30 วิ
นักวิจัยจาก Wiz ค้นพบช่องโหว่ประเภท symlink ใน AI coding assistants หกตัวยอดนิยม รวมถึง Amazon Q Developer และ Claude Code…
Lead – นักวิจัยจากบริษัท Wiz พบช่องโหว่ประเภท symlink ในเครื่องมือช่วยเขียนโค้ดด้วย AI จำนวนหกตัวที่ได้รับความนิยม ได้แก่ Amazon Q Developer, Claude Code ของ Anthropic, Augment, Cursor, Google Antigravity และ Windsurf ตามรายงานนี้ ช่องโหว่ทำให้ผู้โจมตีสามารถใส่โครงการโค้ดที่มีอาวุธซ่อนอยู่เพื่อควบคุมเครื่องของนักพัฒนาโดยไม่ถูกตรวจจับ
Overview
การโจมตีแบบ GhostApproval ใช้กลไกขออนุญาตแก้ไขไฟล์ที่ดูเหมือนไร้ภัย แต่เมื่อผู้ใช้ให้สิทธิ์ ระบบจะทำการเขียนลงไฟล์ที่เชื่อมโยงผ่าน symlink ไปยังตำแหน่งสำคัญของระบบปฏิบัติการ ตัวอย่างเช่น การเปลี่ยนค่าใน /etc/passwd** หรือสคริปต์เริ่มต้นของเซิร์ฟเวอร์ ซึ่งอาจทำให้ผู้โจมตีได้สิทธิ์ระดับราก (root) หรือเรียกใช้โค้ดใด ๆ ตามต้องการ
ตามที่ทีมวิจัยระบุ กระบวนการทำงานของ AI coding assistant จะดาวน์โหลดไฟล์จาก repository ที่ผู้พัฒนานำเข้ามา แล้วตรวจสอบว่าต้องแก้ไขไฟล์ใดโดยอิงจากคำสั่งของผู้ใช้ หากไฟล์ดังกล่าวเป็น symlink ไปยังตำแหน่งอื่น การเขียนจะแทนที่ข้อมูลสำคัญโดยไม่ได้รับการแจ้งเตือน ผู้ใช้เพียงยืนยัน “อนุญาตให้แก้ไข” ก็พอให้โค้ดอันตรายทำงานได้
Vulnerability Details
ช่องโหว่นี้เป็นรูปแบบของ symlink attack ที่มักพบในระบบไฟล์ UNIX‑like ซึ่งการสร้าง symbolic link ชี้ไปยังไฟล์หรือไดเรกทอรีอื่นทำให้แอปพลิเคชันที่ไม่ได้ตรวจสอบเส้นทางอย่างละเอียดเขียนข้อมูลผิดตำแหน่ง การจัดการไฟล์โดย AI agents ที่เน้นความรวดเร็วและอัตโนมัติจึงเป็นเป้าหมายง่าย เนื่องจากขั้นตอนยืนยัน (approval) มักทำแบบ “single‑click” เท่านั้น
Wiz รายงานว่าเครื่องมือทั้งหมดที่ตรวจพบมีลักษณะการทำงานคล้ายกัน คือให้ผู้ใช้เลือกไฟล์เป้าหมายผ่าน UI แล้วส่งคำสั่งแก้ไขไปยัง backend ของ AI ที่ทำหน้าที่เขียนโค้ด การตรวจสอบ symlink ก่อนเขียนไม่ได้ถูกนำมาใช้อย่างทั่วถึง ทำให้ช่องโหว่นี้สามารถแทรกซึมได้ในหลายขั้นตอนของ workflow
นอกจากนี้ นักวิจัยยังชี้ว่าการใช้ repository ภายนอกที่ไม่ได้รับการตรวจสอบความปลอดภัยเพิ่มความเสี่ยง เนื่องจากผู้โจมตีอาจฝัง symlink ไว้ภายในโครงการโดยตรง ทำให้แม้แต่ผู้พัฒนาที่เชื่อมั่นในแหล่งข้อมูลเปิดก็ตาม เสี่ยงต่อการถูกควบคุมระบบ
Affected Tools
- Amazon Q Developer
- Claude Code (Anthropic)
- Augment
- Cursor
- Google Antigravity
- Windsurf
เครื่องมือเหล่านี้ครอบคลุมผู้ให้บริการ AI coding assistant จากหลายบริษัทระดับโลก ทำให้ปริมาณนักพัฒนาที่อาจได้รับผลกระทบอยู่ในระดับหลายแสนคน การที่ฟีเจอร์ “auto‑fix” หรือ “suggested edit” ถูกเปิดใช้โดยอัตโนมัติยิ่งเพิ่มความสำคัญของการตรวจสอบโค้ดจากแหล่งภายนอก
Security Implications
ตามข้อมูลของ Wiz, หากโจมตีสำเร็จ ผู้กระทำผิดสามารถรันสคริปต์ระดับระบบบนเครื่องของนักพัฒนาได้ทันที ซึ่งอาจนำไปสู่การขโมยข้อมูลส่วนบุคคล การติดตั้งแบ็คดอร์ หรือแม้แต่การสร้าง botnet ใหม่จากเครื่องที่ได้รับการควบคุม นอกจากนี้ เนื่องจาก AI assistants มีแนวโน้มจะถูกใช้ใน CI/CD pipeline ขององค์กร ช่องโหว่เดียวอาจส่งผลกระทบต่อกระบวนการปล่อยซอฟต์แวร์ทั้งหมด
ผู้เชี่ยวชาญด้านความปลอดภัยได้นำเสนอว่าการใช้เครื่องมือ AI ในการเขียนโค้ดยังคงต้องพิจารณาความเสี่ยงจาก “trust‑boundary” อย่างรอบคอบ การให้สิทธิ์แก้ไขไฟล์โดยอัตโนมัติกับโปรเจกต์ที่มาจากแหล่งภายนอกควรถูกจำกัด หรืออย่างน้อยต้องมีการตรวจสอบเชิงลึกก่อนทำการเขียน
Recommendations
Wiz แนะนำให้ผู้ผลิต AI coding assistant ปรับปรุงระบบยืนยันโดยเพิ่มขั้นตอนตรวจสอบ symlink ก่อนทำการเขียนไฟล์ และแสดงเส้นทางเต็มของไฟล์ที่กำลังจะถูกแก้ไขต่อผู้ใช้เพื่อความโปร่งใส นอกจากนี้ ควรจัดทำ policy ที่บังคับให้โครงการที่นำเข้าเข้ามาผ่านกระบวนการสแกนความปลอดภัย (static analysis) ก่อนใช้งาน
สำหรับนักพัฒนาที่ใช้เครื่องมือเหล่านี้ควรตรวจสอบและปิดฟีเจอร์อัตโนมัติที่อนุญาตให้ AI เขียนไฟล์โดยตรง หากต้องใช้โค้ดจาก repository ภายนอก ควรทำการ clone ไปยังระบบแยก (sandbox) เพื่อตรวจสอบ symlink หรือไฟล์ที่น่าสงสัยก่อนนำเข้ากระบวนการพัฒนา
Summary
ช่องโหว่ GhostApproval ที่พบในหก AI coding assistant ชั้นนำ ทำให้ผู้โจมตีสามารถใช้ symlink เพื่อเขียนไฟล์สำคัญโดยไม่ได้รับการแจ้งเตือน นักวิจัยจาก Wiz แนะนำให้เพิ่มขั้นตอนตรวจสอบและกำหนดนโยบายความปลอดภัยเพื่อป้องกันการละเมิดในอนาคต.
แชร์บทความนี้:
ชอบบทความแบบนี้?
สมัคร AI Automate Weekly Newsletter — รับเคล็ดลับ AI + how-to ใหม่
ทุกสัปดาห์ตรงถึง inbox ฟรี ไม่มีสแปม
แหล่งข่าวต้นฉบับ
- ชื่อต้นฉบับ
- GhostApproval Symlink Flaws Could Let Malicious Repos Run Code in AI Coding Agents
- ผู้เขียน
- [email protected] (The Hacker News)
- แหล่ง
- The Hacker News
- วันที่เผยแพร่
- 9 กรกฎาคม 2569 เวลา 11:27



