Ricercatori scoprono oltre 30 vulnerabilità negli strumenti di codifica AI che consentono il furto di dati e gli attacchi RCE

È stato scoperto che oltre 30 vulnerabilità di sicurezza sono state discusse in vari ambienti di sviluppo integrato (IDE) alimentati da intelligenza artificiale (AI) che combinano primitive di iniezione di prompt con funzionalità legittime per ottenere l’esfiltrazione dei dati e l’esecuzione di codice remoto. Le carenze di sicurezza sono state collettivamente nominate IDEsaster dal ricercatore di sicurezza Ari Marzouk.

I problemi di sicurezza colpiscono IDE e estensioni popolari come Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie e Cline, tra gli altri. Di questi, 24 sono stati assegnati identificatori CVE. Marzouk ha affermato che il fatto che multiple catene di attacchi universali abbiano colpito ogni IDE di AI testato è la scoperta più sorprendente di questa ricerca.

I problemi alla base di queste vulnerabilità consistono nel fatto che gli IDE di AI trattano le loro funzionalità come inherentemente sicure perché sono state utilizzate per anni. Tuttavia, una volta aggiunti agenti AI che possono agire in modo autonomo, le stesse funzionalità possono essere utilizzate per l’esfiltrazione dei dati e l’esecuzione di codice remoto. Le catene di attacco coinvolte bypassano le protezioni di un modello linguistico di grandi dimensioni per hijackare il contesto e eseguire gli attacchi, eseguono azioni senza interazione dell’utente e attivano funzionalità legittime dell’IDE per leakare dati sensibili o eseguire comandi arbitrari.

I ricercatori hanno identificato diversi attacchi possibili grazie a queste vulnerabilità, tra cui la lettura di file sensibili e la scrittura di file JSON con schemi remoti, l’editing di file di configurazione per eseguire codice arbitrario e l’override di impostazioni di workspace per eseguire codice arbitrario. Marzouk consiglia di utilizzare solo AI IDE con progetti e file attendibili, di connettersi solo a server MCP attendibili e di rivedere le fonti aggiunte per istruzioni nascoste.

I sviluppatori di agenti AI e IDE di AI sono invitati ad applicare il principio del minimo privilegio agli strumenti LLM, minimizzare i vettori di iniezione di prompt, indurire il sistema di prompt, utilizzare sandboxing per eseguire comandi e eseguire test di sicurezza per path traversal, leak di informazioni e iniezione di comandi. Le scoperte coincidono con la scoperta di diverse vulnerabilità in strumenti di codifica AI che potrebbero avere un ampio impatto.