Mai bine de 30 de vulnerabilități descoperite în uneltele AI de programare permit furturi de date „pe bandă rulantă”

Cercetătorii în securitate au dezvăluit peste 30 de vulnerabilități în instrumente de dezvoltare integrate (IDE) asistate de inteligență artificială, expunând riscuri serioase de exfiltrare a datelor și execuție de cod la distanță.

Problemele, reunite sub denumirea „IDEsaster” de către specialistul Ari Marzouk (MaccariTA), afectează platforme cunoscute precum Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie și Cline. Nu mai puțin de 24 dintre aceste slăbiciuni au primit identificatori CVE, scrie The Hacker News.

Marzouk subliniază că descoperirile evidențiază un model comun periculos: majoritatea AI IDE-urilor tratează funcțiile existente ale mediilor de dezvoltare drept sigure în mod implicit. Odată ce aceste funcții sunt combinate cu agenți AI capabili să acționeze autonom, pot deveni instrumente perfecte pentru atacatori.

Cum funcționează lanțul de atac „IDEsaster”

Vulnerabilitățile identificate conectează trei vectori principali: deturnarea prompturilor și ocolirea protecțiilor LLM-urilor, acțiuni executate automat de agenții AI fără confirmare, și exploatarea unor funcționalități legitime ale IDE-ului pentru a scăpa din zona securizată și a accesa date sau a executa comenzi.

Spre deosebire de lanțurile anterioare, care combinau prompt injections cu instrumente vulnerabile pentru a modifica configurații și a obține acces neautorizat, IDEsaster demonstrează cum chiar funcțiile considerate sigure pot deveni arme atunci când sunt manipulate prin AI.

Context hijacking-ul poate apărea în multiple situații: URL-uri sau texte adăugate manual de utilizator, care includ caractere invizibile interpretate de LLM; servere MCP compromise care furnizează intrări controlate de atacator; sau fișiere cu instrucțiuni ascunse în cod. Odată ce contextul este compromis, agenții AI pot efectua automat acțiuni aprobate implicit, inclusiv citirea de fișiere sensibile sau modificarea configurațiilor workspace-ului.

Printre atacurile documentate se numără:

• Citirea de fișiere confidențiale și scurgerea datelor prin crearea unui fișier JSON ce face apel către un domeniu controlat de atacator (Cursor, Roo Code, Junie, GitHub Copilot, Kiro.dev, Claude Code).
• Execuție de cod prin modificarea fișierelor de configurare ale IDE-ului, precum settings.json sau workspace.xml, direcționând setările către executabile malițioase (Copilot, Cursor, Roo Code, Zed.dev).
• Deturnarea configurațiilor de workspace prin rescrierea fișierelor .code-workspace, permițând rularea de comenzi la fiecare deschidere a proiectului (Copilot, Cursor, Roo Code).

Aceste scenarii devin posibile deoarece multe IDE-uri AI aprobă automat scrieri în fișiere interne ale proiectului, fără a solicita intervenția utilizatorului.

Vulnerabilități suplimentare și recomandări pentru protecție

Pe lângă lanțul de atac IDEsaster, au fost dezvăluite și alte probleme grave: o vulnerabilitate de command injection în OpenAI Codex CLI (CVE-2025-61260), prompt injections indirecte în Google Antigravity capabile să sustragă credențiale, și o nouă clasă de atac numită PromptPwnd, care vizează AI agenții conectați la pipeline-uri GitHub Actions sau GitLab CI/CD.

Pe măsură ce agenții AI sunt integrați tot mai mult în fluxurile de dezvoltare din companii, cercetătorii avertizează că acestea extind radical suprafața de atac.

LLM-urile nu disting în mod fiabil instrucțiunile intenționate ale utilizatorului de textul provenit din surse externe, ceea ce le transformă într-un vector ideal pentru exploituri bazate pe conținut otrăvit.

Recomandările cheie pentru utilizatori includ:

• lucrul cu proiecte și fișiere de încredere;
• verificarea atentă a serverelor MCP și monitorizarea constantă a modificărilor;
• inspectarea manuală a surselor adăugate (URL-uri, fișiere README, nume de fișiere) pentru text ascuns;
• aplicarea principiului „least privilege” în configurarea agenților AI;
• testarea sistematică a protecțiilor împotriva path traversal, scurgerilor de date și command injection.

Marzouk subliniază necesitatea unui nou principiu de dezvoltare: „Secure for AI”, un cadru destinat să prevină abuzarea componentei AI în timp, nu doar să asigure securitate în designul inițial al produsului.

Integrarea agenților AI într-o aplicație creează riscuri emergente, iar IDEsaster este dovada clară că aceste riscuri trebuie tratate urgent și sistematic.