👾 IDEsaster: уязвимы все ИИ-среды разработки

«Просто добавь воды ИИ» — рецепт, которому следуют 100% крупных производителей IDE, то есть сред разработки ПО. Все "AI IDE" построены на базе давно существующих и развитых IDE с миллионами пользователей. На основе VSCode созданы ИИ-среды Cursor, Windsurf, Roo Code, GitHub CoPilot и Kiro.dev, из JetBrains развились Junnie и Cline, к Zed dev легко подключить Claude Code CLI и Gemini CLI. Все они уязвимы к новому классу дефектов IDEsaster, позволяющему извлекать из атакуемой системы данные или запускать на ней произвольный код.

Исследователь, работающий над этой проблемой, уже обнаружил 30 дефектов в перечисленных IDE и добился назначения 24 CVE. 100% протестированных сред оказались уязвимы. Суть проблемы в том, что IDE располагает развитыми средствами автоматизации, которые теперь порой запускает и настраивает ИИ-агент. Далеко не всегда он воспринимает изменения в скриптах и настройках как опасные и требующие подтверждения от человека. Выстроенные вокруг ИИ-агента фильтры тоже не учитывают опасные функции IDE, в результате одни и те же атаки с минимальными модификациями надёжно воспроизводятся на разных IDE.

Пример утечки данных: с помощью промпт-инъекции ИИ-агента просят записать JSON-файл на основе схемы JSON, сохранённой на внешнем сервере. Функция поддерживается во всех IDE на базе Visual Studio Code, JetBrains и Zed dev. При обращении к внешней схеме JSON данные, воруемые с компьютера, передаются в параметрах GET-обращения к серверу атакующего.

Запуск произвольного кода отличается в реализации для разных IDE, но сводится к тому, что настройки IDE (php.validate.executablePath или Git.Settings — PATH_TO_GIT) модифицируются, чтобы вызывать код атакующего при открытии или валидации любого файла исходников.

Проблема с IDEsaster в том, что функций и методов автоматизации в каждой IDE очень много, и их можно творчески комбинировать, превращая устранение дефектов в бесконечные кошки-мышки. Та же RCE в GitHub Copilot (CVE-2025-53773) была устранена в августе, чтобы возродиться с небольшой модификацией в ноябре (CVE-2025-64660).

Как снизить риски атак на AI IDE?

1️⃣ использовать агентов и IDE только с доверенными проектами и файлами. Нужно учитывать, что промпт-инъекция может содержаться в любых обрабатываемых ИИ файлах, включая всякие readme, тест-кейсы и даже в самих именах файлов;
2️⃣ подключаться только к доверенным серверам MCP, предварительно проведя детальный анализ потоков данных, с которыми работает MCP-сервер. Детально отслеживать и журналировать работу MCP-серверов, чтобы оперативно обнаруживать аномалии;
3️⃣ настраивать ИИ-агенты на режим human-in-the-loop, чтобы подтверждать вручную максимум выполняемых ими действий.

Более детальный разбор модели угроз, конкретных уязвимостей и рекомендаций по защите — в посте автора исследования.

#AI @П2Т