Se han descubierto más de 30 vulnerabilidades de seguridad en varios entornos de desarrollo integrados (IDE) impulsados por inteligencia artificial (IA) que combinan primitivas de inyección rápida con funcionalidad legítima para permitir la filtración de datos y la ejecución remota de código.
Estas fallas de seguridad fueron denominadas colectivamente IDEsaster por el investigador de seguridad Ari Marzouk (MaccariTA). Estos afectan a IDE y extensiones populares como Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie y Cline. De ellos, a 24 se les ha asignado un identificador CVE.
«Creo que el hallazgo más sorprendente de este estudio es el hecho de que múltiples cadenas de ataques universales afectaron a todos los IDE de IA probados», dijo Marzouk a The Hacker News.
«Todos los IDE de IA (y los asistentes de codificación que se integran con ellos) ignoran efectivamente el software de modelado de amenazas (IDE) subyacente. Tratan esa funcionalidad como inherentemente segura porque existe desde hace años. Pero cuando se agregan agentes de IA que pueden operar de forma autónoma, esa misma funcionalidad puede convertirse en un arma como fuga de datos o primitivas RCE».
El núcleo de estos problemas se produce en tres vectores diferentes que son comunes a los IDE impulsados por IA.
Evitar las barreras de seguridad del modelo de lenguaje a gran escala (LLM) para secuestrar el contexto y cumplir las órdenes del atacante (también conocido como inyección rápida). Realizar acciones específicas sin interacción del usuario a través de invocaciones de herramientas de autorización automatizadas del agente de IA. Activar una funcionalidad legítima en el IDE que permite a un atacante violar los límites de seguridad y filtrar datos confidenciales o ejecutar comandos arbitrarios.
El problema destacado difiere de cadenas de ataques anteriores que aprovechan la inyección rápida junto con herramientas vulnerables (o abusan de herramientas legítimas para realizar acciones de lectura o escritura) para modificar la configuración de un agente de IA para ejecutar código o realizar otros comportamientos no deseados.
Lo notable de IDEsaster es que requiere primitivas de inyección rápida y herramientas de agente y las utiliza para activar la funcionalidad legítima del IDE, lo que lleva a la divulgación de información y la ejecución de comandos.
El secuestro de contexto se puede lograr de muchas maneras, incluso a través de referencias de contexto agregadas por el usuario, que toman la forma de URL pegadas, texto que contiene caracteres ocultos que son invisibles para el ojo humano pero que LLM puede analizar. Alternativamente, el contexto puede contaminarse mediante el uso de un servidor Model Context Protocol (MCP) mediante envenenamiento de herramientas o retrasos, o cuando un servidor MCP legítimo analiza la entrada controlada por el atacante desde una fuente externa.
Algunos de los ataques confirmados como posibles gracias a la nueva cadena de exploits incluyen:
CVE-2025-49150 (cursor), CVE-2025-53097 (código Roo), CVE-2025-58335 (JetBrains Junie), GitHub Copilot (sin CVE), Kiro.dev (sin CVE) y Claude Code (abordado con una advertencia de seguridad): la inyección rápida se puede utilizar para explotar herramientas legítimas («read_file») o vulnerables. (‘search_files’ o ‘search_project’) y escribe un archivo JSON a través de una herramienta legítima (‘write_file’ o ‘edit_file)’ con un esquema JSON remoto alojado en un dominio controlado por el atacante, los datos quedan expuestos cuando el IDE realiza una solicitud GET CVE-2025-53773 (GitHub Copilot), CVE-2025-54130 (Cursor), CVE-2025-53536 (código Roo), CVE-2025-55012 (Zed.dev) y código Claude (abordado con una advertencia de seguridad): utiliza la inyección rápida para editar el archivo de configuración IDE («.vscode/settings.json» o «.idea/workspace.xml») y ejecuta el código según la configuración. «php.validate.executablePath» o «PATH_TO_GIT» a la ruta del ejecutable que contiene el código malicioso CVE-2025-64660 (GitHub Copilot), CVE-2025-61590 (Cursor) y CVE-2025-58372 (Roo Code): inyección rápida mediante el archivo de configuración del espacio de trabajo (*.code-workspace) Editar y anular multiroot configuración del espacio de trabajo para ejecutar código
Tenga en cuenta que los dos últimos ejemplos se basan en un agente de IA configurado para aprobar automáticamente la escritura de archivos, lo que permite a un atacante influir en el mensaje y escribir configuraciones maliciosas en el espacio de trabajo. Sin embargo, este comportamiento se aprueba automáticamente de forma predeterminada para los archivos en el espacio de trabajo, lo que permite ejecutar código arbitrario sin requerir la interacción del usuario ni volver a abrir el espacio de trabajo.
Con una inyección rápida y jailbreak como primer paso en la cadena de ataque, Marzouk ofrece las siguientes recomendaciones:
Utilice AI IDE (y el agente AI) solo con proyectos y archivos en los que confíe. Los archivos de reglas maliciosos, las instrucciones ocultas en el código fuente u otros archivos (README) e incluso los nombres de los archivos pueden convertirse en vectores de inyección rápida. Conéctese solo a servidores MCP confiables y supervise continuamente estos servidores para detectar cambios (incluso los servidores confiables pueden verse comprometidos). Revise y comprenda el flujo de datos de sus herramientas MCP (por ejemplo, las herramientas MCP legítimas pueden obtener información de fuentes controladas por atacantes, como GitHub PR). Verifique manualmente las fuentes agregadas (por ejemplo, a través de URL) para buscar instrucciones ocultas (por ejemplo, comentarios en HTML/texto oculto en CSS/caracteres Unicode ocultos).
Recomendamos que los desarrolladores de agentes de IA e IDE de IA apliquen el principio de privilegio mínimo en sus herramientas LLM, minimicen los vectores de inyección de mensajes, refuercen los mensajes del sistema, utilicen sandboxing para ejecutar comandos y realicen pruebas de seguridad para el recorrido de rutas, la divulgación de información y la inyección de comandos.
Esta divulgación coincidió con el descubrimiento de varias vulnerabilidades en las herramientas de codificación de IA que podrían tener implicaciones de gran alcance.
Defecto de inyección de comando OpenAI Codex CLI (CVE-2025-61260). Aprovecha el hecho de que el programa confía implícitamente en los comandos configurados a través de la entrada del servidor MCP y los ejecuta al inicio sin pedir permiso al usuario. Esto podría permitir que se ejecuten comandos arbitrarios si un atacante malintencionado es capaz de alterar los archivos «.env» y «./.codex/config.toml» del repositorio. Inyección provocada indirectamente en Google Antigravity utilizando una fuente web contaminada. Gemini puede manipularse para recopilar credenciales y códigos confidenciales del IDE de un usuario y puede usarse para explorar sitios maliciosos y extraer información mediante subagentes del navegador. Google Antigravity contiene múltiples vulnerabilidades que podrían conducir a la divulgación de datos o la ejecución remota de comandos mediante inyección indirecta, o una puerta trasera persistente que podría aprovechar un espacio de trabajo malicioso confiable para ejecutar código arbitrario en cada lanzamiento futuro de una aplicación. Una nueva clase de vulnerabilidades denominada PromptPwnd utiliza la inyección rápida para apuntar a agentes de IA conectados a acciones de GitHub vulnerables (o canalizaciones de CI/CD de GitLab) para ejecutar herramientas privilegiadas integradas que pueden conducir a la divulgación de información o la ejecución de código.
A medida que las herramientas de IA de agentes crecen en popularidad en entornos empresariales, estos hallazgos demuestran cómo las herramientas de IA amplían la superficie de ataque de las máquinas de desarrollo al explotar la incapacidad de LLM para distinguir entre instrucciones proporcionadas por el usuario para completar una tarea y contenido que puede ser ingerido de fuentes externas, lo que resulta en mensajes maliciosos potencialmente integrados.
«Los repositorios que utilizan IA para la clasificación de problemas, el etiquetado de relaciones públicas, las sugerencias de código o las respuestas automatizadas corren el riesgo de sufrir una inyección rápida, una inyección de comandos, fugas de seguridad, compromiso del repositorio y compromiso de la cadena de suministro», dijo el investigador de Aikido Layne Dahlman.
Marzouk también dijo que los hallazgos resaltan la importancia de «Secure for AI». Este es un nuevo paradigma que los investigadores han ideado para abordar los desafíos de seguridad que plantean las capacidades de la IA, de modo que los productos no sólo sean seguros por defecto y por diseño, sino que también estén pensados teniendo en cuenta cómo se pueden explotar los componentes de la IA con el tiempo.
«Este es otro ejemplo de por qué necesitamos el principio ‘seguro para la IA'», dijo Marzouk. «Conectar un agente de IA a una aplicación existente (IDE en mi caso, GitHub Actions en su caso) introduce nuevos riesgos».
Source link
