Nyhet

GhostApproval: Symlink-sårbarhet låter angripare köra godtycklig kod via AI-kodningsagenter

tolvers.se-redaktionen Publicerad: 9 juli 2026 ⏱ 2 min läsning

Säkerhetsforskare har identifierat en kritisk attackmetod kallad GhostApproval som utnyttjar symlink-sårbarheter i populära AI-kodningsagenter. Genom att manipulera strukturen i ett kodförråd kan angripare lura agenten att exekvera godtycklig skadlig kod – utan att användaren märker något. Attacken utgör ett direkt hot mot utvecklare som integrerar agentic AI i sina arbetsflöden.

Vad har hänt

Säkerhetsforskare har publicerat detaljer om en ny attack kallad GhostApproval, som rapporterades av The Hacker News den 9 juli 2026. Attacken riktar sig mot AI-kodningsagenter – verktyg som självständigt läser, analyserar och modifierar kod åt utvecklare – och utnyttjar hur dessa agenter hanterar symboliska länkar, så kallade symlinks, i kodförråd.

Genom att skapa ett manipulerat repo med noggrant placerade symlinks kan en angripare lura AI-agenten att följa länkarna utanför det förväntade katalogträdet och därigenom exekvera godtycklig kod på det system där agenten körs. Attacken är särskilt allvarlig eftersom den kan triggas redan när agenten klonar eller inspekterar ett repo – alltså innan någon mänsklig granskning sker.

Enligt The Hacker News visar forskningen även att AI-agenter som är byggda specifikt för att upptäcka skadlig kod kan luras att köra just den typ av kod de är designade att blockera. Det innebär att säkerhetsskiktet som många organisationer förlitar sig på i sina AI-drivna utvecklingsflöden kan kringgås med samma teknik.

Vad det betyder

GhostApproval belyser en strukturell svaghet i hur agentic AI hanterar opålitliga indata från externa källor som öppna kodförråd. Till skillnad från traditionella sårbarheter kräver den här attacken inte att offret kör ett specifikt program – det räcker att AI-agenten interagerar med ett manipulerat repo, vilket är ett naturligt och vanligt steg i moderna utvecklingsflöden.

Problemet förvärras av att många AI-kodningsagenter körs med breda systembehörigheter för att kunna utföra sitt arbete, som att installera beroenden, köra tester och skriva filer. Det ger en framgångsrik GhostApproval-attack en stor angreppsyta och potentiellt full kontroll över utvecklarens miljö.

Attacken visar också på en mer fundamental utmaning: ju mer autonoma AI-agenter blir, desto viktigare är det att de tillämpar principen om minsta möjliga privilegium och strikt sandboxning. I dag saknar många verktyg dessa skyddsmekanismer som standard.

Vad det betyder för dig i Sverige

Svenska utvecklare och organisationer som använder AI-kodningsagenter – exempelvis GitHub Copilot Workspace, Cursor eller liknande verktyg – bör omedelbart se över hur dessa agenter hanterar externa kodförråd och vilka systembehörigheter de har tillgång till.

PTS och IMY har tidigare understrukit vikten av säker mjukvaruutveckling och hantering av tredjepartskod, krav som förstärks ytterligare av EU:s Cyber Resilience Act som börjar tillämpas successivt. GhostApproval-attacken är ett konkret exempel på den typ av supply chain-hot som lagstiftningen syftar till att adressera.

Praktiska åtgärder för svenska utvecklingsteam inkluderar att konfigurera AI-agenter att köras i isolerade miljöer utan nätverksåtkomst, att aldrig ge agenter skrivrättigheter utanför projektets rotkatalog samt att granska inkommande repos för misstänkta symlink-strukturer innan de analyseras av AI-verktyg. Organisationer bör också bevaka uppdateringar från leverantörerna av de AI-kodningsverktyg de använder, då säkerhetspatchar förväntas släppas i spåret av den här forskningen.

Källor och vidare läsning