Внедрение вредоносных промптов в сочетании с использованием возможностей самой интегрированной среды разработки позволяет похищать информацию или запускать произвольные команды. Причина в том, что этим системам предоставлены чрезмерные привилегии.
Специалист по кибербезопасности Ари Марзук (Ari Marzouk), выступающий под псевдонимом MaccariTA, представил исследование «IDEsaster: Новый класс уязвимостей в IDE, расширенных возможностями искусственного интеллекта», в котором описывает критическое состояние безопасности подобных платформ. В своей работе он обнаружил в совокупности 30 уязвимостей, открывающих путь к утечке данных или исполнению произвольного кода.
Проблемы затрагивают ряд распространённых сред разработки и их дополнений: Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie, Cline и другие. Для 24 из обнаруженных уязвимостей были присвоены идентификаторы CVE.
«Самое поразительное, на мой взгляд, это то, что в каждой проанализированной среде с ИИ-функционалом существует несколько вариантов для проведения многоэтапных атак», — отметил Марзук в беседе с The Hacker News. — «Все ИИ-расширенные IDE (и сопутствующие программистские ассистенты) по сути игнорируют базовую программную платформу — саму среду разработки — в своих моделях угроз. Все её функции считаются изначально безопасными просто потому, что они существуют годами. Однако, как только добавляется автономный ИИ-помощник, эти же самые функции могут стать источником риска, включая инструменты для извлечения данных или выполнения произвольного кода».
В целом, все описанные сценарии атак можно разделить на три основные категории:
Первая — это обход защитных механизмов большой языковой модели (LLM) с захватом контекста и принуждением модели действовать в интересах злоумышленника (так называемая инъекция промпта).
Вторая — это выполнение определённых операций без ведома пользователя благодаря автоматическому одобрению вызовов со стороны инструментов ИИ-агента.
Третья — это использование штатных функций IDE, которые позволяют потенциальному атакующему выйти за границы безопасной среды, чтобы получить доступ к конфиденциальным данным или выполнить произвольные команды.
Ранее уже рассматривались атаки, основанные на инъекциях промптов в связке с уязвимыми инструментами или через злоупотребление легитимными возможностями: такие методы предполагали изменение конфигурации ИИ-агента для принуждения его к выполнению произвольного кода или другому нежелательному поведению.
Отличие IDEsaster заключается в том, что для достижения злонамеренных целей здесь эксплуатируются именно легитимные, встроенные функции среды разработки.
Перехват контекста может быть осуществлён различными путями, включая использование пользовательских контекстных ссылок — например, встроенных URL-адресов или текста со скрытыми символами, которые не видны человеку, но обрабатываются языковой моделью.
В качестве примера, контекст может быть скомпрометирован через сервер Model Context Protocol (MCP) путём компрометации инструментов (tool poisoning), проведения rug pull-атак или в ситуациях, когда на доверенный MCP-сервер поступают вредоносные данные из внешнего, контролируемого злоумышленником, источника.
Техника инъекции в промпт позволяет, к примеру, читать содержимое важных файлов с использованием стандартных или уязвимых инструментов, а затем создавать JSON-файл через легитимную функцию (write_file или edit_file) с удалённой JSON-схемой, размещённой на домене под контролем атакующего. Это ведёт к утечке данных в момент, когда интегрированная среда разработки (IDE) выполняет GET-запрос.
Данная уязвимость была обнаружена в таких продуктах, как Cursor (CVE-2025-49150), Roo Code (CVE-2025-53097), JetBrains Junie (CVE-2025-58335), а также в GitHub Copilot (без присвоения идентификатора CVE), Kiro.dev (без CVE) и Claude Code (в последнем случае пользователю отображается предупреждение о потенциальной атаке).
Уязвимости, дающие возможность изменять настройки IDE посредством инъекции в промпт, зафиксированы в GitHub Copilot (CVE-2025-53773), Cursor (CVE-2025-54130), Roo Code (CVE-2025-53536), Zed.dev (CVE-2025-55012) и Claude Code (выводится предупреждение о безопасности, CVE не присвоен). Изменение конфигурационных файлов IDE (таких как .vscode/settings.json или .idea/workspace.xml) может привести к выполнению произвольного кода, например, через указание пути php.validate.executablePath или PATH_TO_GIT на вредоносный исполняемый файл.
Уязвимости, позволяющие использовать инъекцию в промпт для модификации файлов конфигурации рабочего пространства (*.code-workspace), присутствуют в GitHub Copilot (CVE-2025-64660), Cursor (CVE-2025-61590) и Roo Code (CVE-2025-58372). Перенастройка и переопределение параметров multi-root workspace могут приводить к исполнению произвольного кода.
Важно отметить, что два последних сценария возможны при условии, что ИИ-агент настроен на автоматическое подтверждение операций записи файлов. Это позволяет инициировать запись вредоносных настроек рабочей области. Поскольку такое поведение часто одобряется по умолчанию для файлов внутри workspace, это может привести к автоматическому выполнению кода без ведома пользователя и без необходимости перезагрузки проекта.
Марзук рекомендует следующие шаги для предотвращения подобных инцидентов. Во-первых, использовать IDE с ИИ-функционалом и ИИ-агентов исключительно для работы с проверенными проектами и файлами. Во-вторых, подключаться только к надёжным MCP-серверам и постоянно мониторить их состояние (даже доверенный сервер может быть взломан). В-третьих, анализировать потоки данных, обрабатываемые MCP-инструментами (например, легитимный инструмент может получать информацию из источника под контролем злоумышленника, такого как Pull Request на GitHub).
«Основная угроза заключается в чрезмерных правах доступа, которые получают инструменты с искусственным интеллектом к данным, предназначенным для их использования, — отмечает Михаил Зайцев, специалист по кибербезопасности из компании SEQ. — Интегрированные с ИИ среды разработки созданы для сокращения ошибок в коде, однако в текущем состоянии они сами могут стать источником уязвимостей».
Специалист привёл недавний пример, когда система на основе ИИ, воспользовавшись предоставленными полномочиями, безвозвратно удалила важную информацию у одного из программистов.
«Эти технологии ещё не достигли необходимого уровня надёжности, поэтому связанные с ними риски требуют постоянного внимания», — подчеркнул Зайцев.
