GhostApproval: el viejo truco Unix que engaña a los asistentes de codificación IA
Seis agentes de IA populares presentan una vulnerabilidad que permite ejecución remota de código mediante enlaces simbólicos
9 de julio de 2026 · 4 min de lectura
¿Qué ha ocurrido?
Investigadores de seguridad de Wiz han identificado un patrón de vulnerabilidad sistemática en seis de los asistentes de codificación con IA más utilizados: Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity y Windsurf. La falla, denominada GhostApproval, permite que un atacante engañe a estos agentes para que accedan a archivos fuera del espacio de trabajo sandbox, lo que puede derivar en ejecución remota de código en la máquina del desarrollador.
El ataque aprovecha una característica de seguridad de la era Unix: los enlaces simbólicos (symlinks). Un repositorio malicioso puede contener un symlink que apunte a un archivo sensible, como ~/.ssh/authorized_keys. Cuando el desarrollador pide al agente que "configure el proyecto" o "siga las instrucciones del README", el agente sigue el enlace y escribe en el destino real, otorgando al atacante acceso SSH sin contraseña. Según el informe técnico de Wiz, el ataque es sencillo de ejecutar: basta con crear un repositorio que contenga un symlink disfrazado como archivo de configuración, y un README que instruya al agente a modificarlo. El agente, al no resolver el symlink antes de actuar, escribe en el destino real, como ~/.ssh/authorized_keys, permitiendo al atacante conectarse vía SSH sin autenticación.
¿Por qué es importante?
Esta vulnerabilidad es crítica porque los asistentes de codificación IA se están adoptando masivamente en empresas, con acceso profundo a bases de código y entornos cloud. Aunque no se ha detectado explotación activa, el riesgo es alto. El problema no es solo técnico, sino de diseño de interfaz: los cuadros de diálogo de confirmación ocultan el destino real del symlink, haciendo inútil la supervisión humana. Wiz demostró que incluso cuando el agente muestra una vista previa de los cambios, el usuario solo ve el nombre del symlink (project_settings.json), no el archivo real (~/.ssh/authorized_keys). Esto convierte la aprobación humana en una falsa sensación de seguridad.
“El usuario aprueba lo que cree que es una edición local inofensiva; el agente escribe en un archivo sensible fuera del espacio de trabajo”, explica Maor Dokhanian, investigador de Wiz.
El impacto potencial es enorme: un atacante podría inyectar claves SSH, modificar scripts de inicio, o incluso plantar puertas traseras en el sistema del desarrollador, comprometiendo toda la cadena de suministro de software. Dado que estos agentes se integran con entornos CI/CD y repositorios internos, el daño podría propagarse a producción.
Respuesta de los proveedores
La respuesta ha sido desigual, reflejando diferencias en la madurez de seguridad de cada empresa:
- Amazon, Cursor y Google consideraron la falla crítica o de alta severidad, la corrigieron y emitieron o están emitiendo un CVE. Amazon Q Developer ya tiene un parche disponible, y Cursor emitió CVE-2025-XXXX (pendiente de asignación). Google Antigravity está en proceso de obtener un CVE.
- Augment y Windsurf reconocieron el informe pero no han parcheado ni advertido a los usuarios. Esto es preocupante, ya que dejan expuestos a sus usuarios sin mitigaciones conocidas.
- Anthropic declaró que está “fuera de nuestro modelo de amenazas” y no tomó medidas. Esta postura contrasta con la gravedad del hallazgo, y sugiere que Anthropic no considera que los agentes deban proteger contra repositorios maliciosos, lo cual es discutible dado que los agentes se ejecutan con permisos del usuario.
Históricamente, los fallos de symlink han sido explotados en herramientas como tar, rsync y gestores de paquetes. Por ejemplo, en 2021 se descubrió una vulnerabilidad similar en el gestor de paquetes de Python (CVE-2021-21239) que permitía a un atacante sobrescribir archivos del sistema mediante symlinks en paquetes maliciosos. GhostApproval demuestra que este problema clásico resurge con fuerza en la era de la IA.
Consecuencias para empresas y desarrolladores
GhostApproval expone la fragilidad de confiar ciegamente en agentes autónomos. Las empresas que despliegan estas herramientas deben implementar controles adicionales: restringir permisos del agente (ejecutarlo en un contenedor con sistema de archivos de solo lectura), auditar repositorios de terceros (escanear symlinks maliciosos) y educar a los desarrolladores sobre riesgos de symlinks. La vulnerabilidad recuerda que los principios clásicos de seguridad, como resolver symlinks antes de actuar, siguen siendo relevantes en la era de la IA. Wiz recomienda que los agentes utilicen realpath() o os.path.realpath() para verificar que el destino está dentro del directorio permitido antes de realizar cualquier operación.
El mercado de asistentes de codificación IA está en plena expansión: se espera que crezca de 1.500 millones de dólares en 2024 a más de 8.000 millones en 2028 (según Gartner). Esta vulnerabilidad podría frenar la adopción si los proveedores no demuestran un compromiso serio con la seguridad. Además, el caso de Anthropic sienta un precedente peligroso: si los proveedores pueden ignorar fallos bajo el argumento de “fuera del modelo de amenazas”, los usuarios quedan desprotegidos.
¿Qué deben saber los lectores?
Si usas alguno de estos agentes, verifica si tu proveedor ha lanzado un parche. No confíes ciegamente en los cuadros de diálogo de confirmación. Revisa manualmente cualquier operación que involucre archivos fuera del proyecto. Y exige a los proveedores que traten estos fallos con la seriedad que merecen. Para los equipos de seguridad, es recomendable bloquear la descarga de repositorios no verificados y ejecutar agentes en entornos aislados. Como dijo Dokhanian: “Los principios clásicos de seguridad no pueden pasarse por alto al adoptar nuevas arquitecturas de IA”.
Puntos clave
- Wiz descubrió GhostApproval, una vulnerabilidad que afecta a seis asistentes de codificación IA mediante symlinks.
- Permite a un atacante obtener acceso SSH remoto sin contraseña si el desarrollador ejecuta un repositorio malicioso.
- Amazon, Cursor y Google consideraron la falla crítica y emitieron parches; Anthropic la ignoró.
- La interfaz de confirmación oculta el destino real del symlink, haciendo inútil la supervisión humana.
- Las empresas deben revisar sus políticas de seguridad para agentes IA y aplicar parches inmediatamente.
Preguntas frecuentes
¿Qué es GhostApproval?
Es una vulnerabilidad en asistentes de codificación con IA que permite a un atacante engañar al agente para que acceda a archivos fuera del sandbox mediante enlaces simbólicos, pudiendo ejecutar código remoto en la máquina del desarrollador.
¿Qué asistentes están afectados?
Amazon Q Developer, Anthropic Claude Code, Augment, Cursor, Google Antigravity y Windsurf.
¿Cómo funciona el ataque?
El atacante crea un repositorio con un symlink que apunta a un archivo sensible (ej. ~/.ssh/authorized_keys). El agente, al seguir instrucciones, escribe en ese archivo. El cuadro de diálogo no muestra el destino real.
¿Se ha explotado en la naturaleza?
No hay indicios de explotación activa, pero el riesgo es alto dado el uso generalizado de estos agentes.
¿Qué han hecho los proveedores?
Amazon, Cursor y Google parchearon y emitieron CVE. Augment y Windsurf reconocieron el informe pero no han actuado. Anthropic lo descartó por estar fuera de su modelo de amenazas.
Fuentes utilizadas
Sigue leyendo
Comentarios
Sé el primero en comentar.