Исследователь Ари Марзук, также известный под псевдонимом MaccariTA, совместно с Рейном Дальманом из компании Aikido раскрыли масштабную проблему безопасности в интегрированных средах разработки (IDE) с функциями искусственного интеллекта. Ими было обнаружено более 30 уязвимостей, получивших общее название IDEsaster, для которых было присвоено 24 уникальных идентификатора CVE. Эти бреши позволяют злоумышленникам осуществлять кражу данных (Data Exfiltration) и удаленное выполнение кода (RCE), используя комбинацию примитивов инъекции промптов и автономных действий ИИ-агентов. Примечательно, что универсальные цепочки атак сработали абсолютно во всех протестированных ИИ-редакторах.
В список затронутого программного обеспечения вошли практически все ведущие инструменты на рынке: Cursor, Windsurf, , GitHub Copilot, и Roo Code. Уязвимости также были найдены в Junie, Cline, Claude Code, OpenAI Codex CLI и Google Antigravity. Основной механизм атаки IDEsaster базируется на трехэтапном векторе: сначала происходит инъекция промпта для обхода ограничений большой языковой модели (LLM), затем ИИ-агент выполняет автономные действия через автоматически одобренные вызовы инструментов, и в финале активируются легитимные функции IDE, которые используются для нарушения границ безопасности. Ключевое отличие заключается в том, что атака не меняет конфигурацию ИИ, а использует его для эксплуатации стандартных возможностей редактора.
Один из выявленных векторов атаки направлен на утечку данных через GET-запросы и затрагивает инструменты dev и Claude Code (в последнем разработчики добавили предупреждение). Сценарий предполагает, что инъекция промпта заставляет систему прочитать конфиденциальный файл, используя команды «read_file», «search_files» или «search_project». Затем создается JSON-файл с использованием «write_file» или «edit_file», содержащий ссылку на удаленную схему, размещенную на домене, контролируемом атакующим. Когда IDE инициирует GET-запрос для получения этой схемы, данные передаются на сторонний сервер.
Наиболее критичные уязвимости связаны с удаленным выполнением кода (RCE) через манипуляцию файлами настроек. Этим проблемам присвоены идентификаторы CVE-2025-53773 (GitHub Copilot), CVE-2025-54130 (Cursor), CVE-2025-53536 (Roo Code) и CVE-2025-55012 (Zed.dev). Метод заключается в редактировании файлов конфигурации, таких как.vscode/settings.json или.idea/workspace.xml, через инъекцию промпта. Атакующий может изменить параметры, например «php.validate.executablePath» или «PATH_TO_GIT», указывая путь к вредоносному исполняемому файлу, который затем запускается средой разработки.
Другой способ достижения RCE реализуется через переопределение конфигурации рабочей области и затрагивает GitHub Copilot (CVE-2025-64660), Cursor (CVE-2025-61590) и Roo Code (CVE-2025-58372). Атака базируется на редактировании файлов.code-workspace для изменения настроек многокорневой рабочей области. Успех атаки зависит от ИИ-агентов, настроенных на автоматическое одобрение записи файлов внутри рабочей области, что является поведением по умолчанию. Это позволяет выполнять произвольный код без какого-либо взаимодействия с пользователем или необходимости перезагрузки проекта.
Отравление контекста ИИ, необходимое для реализации атак, происходит через различные каналы. Пользователь может добавить контекст, вставив URL-адреса или текст, содержащий скрытые символы, невидимые для человека, но считываемые LLM. Также угрозу представляет протокол контекста модели (MCP), где возможна подмена инструментов через вредоносные серверы или атаки типа «rug pull». Легитимные серверы MCP также могут быть скомпрометированы, если они обрабатывают ввод, контролируемый злоумышленником, например, из пулл-реквестов GitHub. Вредоносные инструкции могут быть скрыты в файлах правил, исходном коде, README или даже в именах файлов.
Отчет исследователей также описывает уязвимости в сопутствующих инструментах. В OpenAI Codex CLI обнаружена уязвимость типа Command Injection (CVE-2025-61260), вызванная неявным доверием командам в записях сервера MCP, которые выполняются при запуске через манипуляции с файлами.env и./.codex/config.toml. В Google Antigravity выявлен риск косвенной инъекции промпта, позволяющей манипулировать моделью Gemini для кражи учетных данных через браузерный субагент или внедрения постоянного бэкдора в доверенную рабочую область. Также был описан новый класс уязвимостей PromptPwnd, нацеленный на агентов CI/CD в GitHub Actions или GitLab, заставляющий их выполнять привилегированные инструменты.
В контексте обнаруженных угроз Ари Марзук предложил новую парадигму «Secure for AI», подчеркивая, что продукты должны разрабатываться с пониманием того, как компоненты ИИ могут быть использованы во вред, выходя за рамки принципа «безопасно по умолчанию». Текущие модели угроз ошибочно игнорируют базовое ПО IDE, считая старые функции безопасными в присутствии автономных агентов. Рейн Дальман также отметил серьезные риски для цепочки поставок: любой репозиторий, использующий ИИ для сортировки проблем или маркировки PR, подвержен компрометации.
Для минимизации рисков разработчикам ИИ-агентов и IDE рекомендуется применять принцип наименьших привилегий к инструментам LLM, ужесточать системные промпты, использовать песочницы для выполнения команд и проводить тестирование на предмет обхода путей и утечки информации. Пользователям следует подключаться только к доверенным серверам MCP, отслеживать их изменения и вручную проверять добавляемые источники (URL) на наличие скрытых HTML-комментариев, CSS-скрытого текста или невидимых символов Unicode.
Изображение носит иллюстративный характер
В список затронутого программного обеспечения вошли практически все ведущие инструменты на рынке: Cursor, Windsurf, , GitHub Copilot, и Roo Code. Уязвимости также были найдены в Junie, Cline, Claude Code, OpenAI Codex CLI и Google Antigravity. Основной механизм атаки IDEsaster базируется на трехэтапном векторе: сначала происходит инъекция промпта для обхода ограничений большой языковой модели (LLM), затем ИИ-агент выполняет автономные действия через автоматически одобренные вызовы инструментов, и в финале активируются легитимные функции IDE, которые используются для нарушения границ безопасности. Ключевое отличие заключается в том, что атака не меняет конфигурацию ИИ, а использует его для эксплуатации стандартных возможностей редактора.
Один из выявленных векторов атаки направлен на утечку данных через GET-запросы и затрагивает инструменты dev и Claude Code (в последнем разработчики добавили предупреждение). Сценарий предполагает, что инъекция промпта заставляет систему прочитать конфиденциальный файл, используя команды «read_file», «search_files» или «search_project». Затем создается JSON-файл с использованием «write_file» или «edit_file», содержащий ссылку на удаленную схему, размещенную на домене, контролируемом атакующим. Когда IDE инициирует GET-запрос для получения этой схемы, данные передаются на сторонний сервер.
Наиболее критичные уязвимости связаны с удаленным выполнением кода (RCE) через манипуляцию файлами настроек. Этим проблемам присвоены идентификаторы CVE-2025-53773 (GitHub Copilot), CVE-2025-54130 (Cursor), CVE-2025-53536 (Roo Code) и CVE-2025-55012 (Zed.dev). Метод заключается в редактировании файлов конфигурации, таких как.vscode/settings.json или.idea/workspace.xml, через инъекцию промпта. Атакующий может изменить параметры, например «php.validate.executablePath» или «PATH_TO_GIT», указывая путь к вредоносному исполняемому файлу, который затем запускается средой разработки.
Другой способ достижения RCE реализуется через переопределение конфигурации рабочей области и затрагивает GitHub Copilot (CVE-2025-64660), Cursor (CVE-2025-61590) и Roo Code (CVE-2025-58372). Атака базируется на редактировании файлов.code-workspace для изменения настроек многокорневой рабочей области. Успех атаки зависит от ИИ-агентов, настроенных на автоматическое одобрение записи файлов внутри рабочей области, что является поведением по умолчанию. Это позволяет выполнять произвольный код без какого-либо взаимодействия с пользователем или необходимости перезагрузки проекта.
Отравление контекста ИИ, необходимое для реализации атак, происходит через различные каналы. Пользователь может добавить контекст, вставив URL-адреса или текст, содержащий скрытые символы, невидимые для человека, но считываемые LLM. Также угрозу представляет протокол контекста модели (MCP), где возможна подмена инструментов через вредоносные серверы или атаки типа «rug pull». Легитимные серверы MCP также могут быть скомпрометированы, если они обрабатывают ввод, контролируемый злоумышленником, например, из пулл-реквестов GitHub. Вредоносные инструкции могут быть скрыты в файлах правил, исходном коде, README или даже в именах файлов.
Отчет исследователей также описывает уязвимости в сопутствующих инструментах. В OpenAI Codex CLI обнаружена уязвимость типа Command Injection (CVE-2025-61260), вызванная неявным доверием командам в записях сервера MCP, которые выполняются при запуске через манипуляции с файлами.env и./.codex/config.toml. В Google Antigravity выявлен риск косвенной инъекции промпта, позволяющей манипулировать моделью Gemini для кражи учетных данных через браузерный субагент или внедрения постоянного бэкдора в доверенную рабочую область. Также был описан новый класс уязвимостей PromptPwnd, нацеленный на агентов CI/CD в GitHub Actions или GitLab, заставляющий их выполнять привилегированные инструменты.
В контексте обнаруженных угроз Ари Марзук предложил новую парадигму «Secure for AI», подчеркивая, что продукты должны разрабатываться с пониманием того, как компоненты ИИ могут быть использованы во вред, выходя за рамки принципа «безопасно по умолчанию». Текущие модели угроз ошибочно игнорируют базовое ПО IDE, считая старые функции безопасными в присутствии автономных агентов. Рейн Дальман также отметил серьезные риски для цепочки поставок: любой репозиторий, использующий ИИ для сортировки проблем или маркировки PR, подвержен компрометации.
Для минимизации рисков разработчикам ИИ-агентов и IDE рекомендуется применять принцип наименьших привилегий к инструментам LLM, ужесточать системные промпты, использовать песочницы для выполнения команд и проводить тестирование на предмет обхода путей и утечки информации. Пользователям следует подключаться только к доверенным серверам MCP, отслеживать их изменения и вручную проверять добавляемые источники (URL) на наличие скрытых HTML-комментариев, CSS-скрытого текста или невидимых символов Unicode.
