Egal ob bei Claude Code, Cursor oder einem anderen KI-basierten Coding-Werkzeug: Solange Nutzer:innen das nicht explizit deaktivieren, fragen diese Tools immer erst nach, ob sie einen bestimmten Terminal ausführen oder bestehende Dateien ändern sollen. Zumindest theoretisch, denn eine neuentdeckte Sicherheitslücke soll genau diesen Mechanismus aushebeln.Anzeige
Das geht aus einem Bericht des Cyber-Sicherheitsunternehmens Wiz hervor, der t3n vorliegt. Darin heißt es, dass die Sicherheitslücke dazu genutzt werden kann, dass Nutzer:innen von ihrem Coding-Tool gefragt werden, einen eigentlich harmlosen lokalen Schreibvorgang zu erlauben. Tatsächlich könnten Angreifer:innen die KI an der Stelle aber dazu bringen, jeden erdenklichen Befehl auszuführen. Und zwar ohne, dass der „Human-in-the-loop“ das bemerkt.
Dabei ist die zugrunde liegende Sicherheitslücke nicht einmal sonderlich neu. Vielmehr wird eine seit Jahrzehnten bekannte und immer wieder an verschiedener Stelle ausgenutzte Unix-Schwachstelle bemüht, und zwar ein sogenannter Symlink-Angriff.Anzeige
So funktioniert der Angriff auf die KI-Coding-Tools
Als symbolischen Link – kurz Symlink – versteht man unter Unix/Linux eine Art Datei-Verweis. Der enthält keine Daten, sondern verweist lediglich auf eine andere Datei oder einen Ordner. Angreifer:innen können das ausnutzen, indem sie diesen Verweis nach der eigentlichen Prüfung, aber bevor eine Datei geschrieben oder gelesen wird, durch ein anderes Ziel ersetzen. Zumindest wenn das betroffene Tool das nicht irgendwie verhindert.








