Обнаружены критические уязвимости в инструментах разработки с ИИ, названные «IDEsaster»

6 часов назад / Технологии → Новости / Технологии

Шестимесячное исследование инструментов разработки с поддержкой ИИ выявило более тридцати уязвимостей безопасности, которые позволяют похищать данные и, в некоторых случаях, удалённо выполнять код. Результаты, описанные в отчёте IDEsaster, показывают, как ИИ-агенты, встроенные в среды разработки (IDE), такие как Visual Studio Code, продукты JetBrains, Zed и многочисленные коммерческие помощники, могут быть использованы для утечки конфиденциальной информации или выполнения кода, контролируемого злоумышленником.

Согласно исследованию, 100% протестированных ИИ-IDE и помощников для написания кода оказались уязвимыми. Затронутые продукты включают GitHub Copilot, Cursor, Windsurf, Kiro.dev, Zed.dev, Roo Code, Junie, Cline, Gemini CLI и Claude Code. Для них уже присвоено как минимум двадцать четыре идентификатора CVE, а также выпущены дополнительные рекомендации от AWS.

Ключевая проблема заключается в том, как ИИ-агенты взаимодействуют с давно существующими функциями IDE. Эти редакторы никогда не проектировались для автономных компонентов, способных читать, редактировать и генерировать файлы. Когда ИИ-помощники получили эти возможности, ранее безобидные функции превратились в векторы атаки.

«Все ИИ-IDE... фактически игнорируют базовое программное обеспечение... в своей модели угроз. Они считают свои функции по умолчанию безопасными, потому что они существуют годами. Однако, как только вы добавляете ИИ-агентов, которые могут действовать автономно, те же самые функции могут быть использованы для похищения данных и удалённого выполнения кода», — заявил исследователь безопасности Ари Марзук в интервью The Hacker News.

Согласно отчёту, это цепочка атак, не зависящая от конкретной IDE. Она начинается с перехвата контекста через инъекцию в промпт. Скрытые инструкции могут быть размещены в файлах правил, README, именах файлов или выводах вредоносных MCP-серверов. Как только агент обработает этот контекст, его инструменты можно направить на выполнение легитимных действий, которые запускают небезопасное поведение в базовой IDE. Финальная стадия злоупотребляет встроенными функциями для извлечения данных или выполнения кода атакующего в любой ИИ-IDE, использующей тот же базовый программный слой.

Один из задокументированных примеров включает запись JSON-файла, который ссылается на удалённую схему. IDE автоматически загружает эту схему, утекая параметры, внедрённые агентом, включая чувствительные данные, собранные ранее в цепочке. Такое поведение наблюдалось в Visual Studio Code, IDE от JetBrains и Zed. Даже защитные механизмы для разработчиков, такие как предпросмотр изменений (diff preview), не блокировали исходящий запрос.

Другой пример демонстрирует полное удалённое выполнение кода через манипуляцию настройками IDE. Отредактировав исполняемый файл, уже присутствующий в рабочей области, а затем изменив конфигурационные поля, такие как `php.validate.executablePath`, злоумышленник может заставить IDE немедленно запустить произвольный код в момент открытия или создания связанного типа файла. Инструменты JetBrains показывают схожую уязвимость через метаданные рабочей области.

В отчёте делается вывод, что в краткосрочной перспективе этот класс уязвимостей невозможно устранить, поскольку современные IDE не были созданы в соответствии с тем, что исследователь называет принципом «Secure for AI». Существуют меры смягчения как для разработчиков, так и для поставщиков инструментов, но долгосрочное решение требует фундаментального перепроектирования того, как IDE позволяют ИИ-агентам читать, писать и действовать внутри проектов.

Источник: Tomshardware.com