Думали, что Cursor просто пишет код? А он еще и секреты ворует (если попросить правильно)
NewsMakerБолее 30 критических уязвимостей в AI-IDE показали, насколько легко обмануть LLM и заставить его выполнять вредоносные действия.
Более 30 уязвимостей обнаружено в популярных средах разработки с встроенным ИИ, и все они позволяют злоумышленникам с помощью сочетания prompt-инъекций и штатных функций IDE незаметно воровать данные или удалённо выполнять команды. Исследователь Ари Марзуки (MaccariTA) назвал серию проблем IDEsaster — и под удар попали такие инструменты, как Cursor, Windsurf, Kiro.dev, GitHub Copilot , Zed.dev, Roo Code, Junie и Cline. Для 24 уязвимостей уже присвоены CVE-идентификаторы.
По словам исследователя, наиболее поразительным открытием стало то, что единые цепочки атак срабатывали буквально во всех проверенных AI-IDE. Разработчики помощников и расширений годами считали встроенные функции IDE безопасными, но ситуация меняется, когда в экосистему добавляются автономные ИИ-агенты: привычные механизмы начинают работать как инструменты для кражи данных или исполнения произвольного кода.
Суть уязвимостей заключается в комбинации трёх типичных для AI-IDE векторов: обход защит LLM через prompt-инъекции , автоматическое выполнение действия агентом без участия пользователя и использование легитимных возможностей IDE для выхода за пределы предполагаемой зоны безопасности. В отличие от прежних сценариев, где prompt-инъекции комбинировались с уязвимыми инструментами, IDEsaster использует обычные функции среды разработки для утечки данных или запуска команд.
Хакеры могут подменять контекст множеством способов: вставлять скрытые символы в текст или URL, подменять данные через Model Context Protocol, отравлять MCP-инструменты или заставлять легитимный сервер MCP обрабатывать внешние вредоносные данные. Исследователь обнаружил цепочки атак, позволяющие считывать секретные файлы, создавать JSON-файлы со ссылками на ресурсы атакующего, менять настройки IDE, пересобирать рабочие конфигурации и в итоге добиваться выполнения произвольного кода. Особенно опасно то, что многие AI-агенты автоматически одобряют изменения в файлах проекта, что открывает путь к атаке без какого-либо участия пользователя.
Более 30 уязвимостей обнаружено в популярных средах разработки с встроенным ИИ, и все они позволяют злоумышленникам с помощью сочетания prompt-инъекций и штатных функций IDE незаметно воровать данные или удалённо выполнять команды. Исследователь Ари Марзуки (MaccariTA) назвал серию проблем IDEsaster — и под удар попали такие инструменты, как Cursor, Windsurf, Kiro.dev, GitHub Copilot , Zed.dev, Roo Code, Junie и Cline. Для 24 уязвимостей уже присвоены CVE-идентификаторы.
По словам исследователя, наиболее поразительным открытием стало то, что единые цепочки атак срабатывали буквально во всех проверенных AI-IDE. Разработчики помощников и расширений годами считали встроенные функции IDE безопасными, но ситуация меняется, когда в экосистему добавляются автономные ИИ-агенты: привычные механизмы начинают работать как инструменты для кражи данных или исполнения произвольного кода.
Суть уязвимостей заключается в комбинации трёх типичных для AI-IDE векторов: обход защит LLM через prompt-инъекции , автоматическое выполнение действия агентом без участия пользователя и использование легитимных возможностей IDE для выхода за пределы предполагаемой зоны безопасности. В отличие от прежних сценариев, где prompt-инъекции комбинировались с уязвимыми инструментами, IDEsaster использует обычные функции среды разработки для утечки данных или запуска команд.
Хакеры могут подменять контекст множеством способов: вставлять скрытые символы в текст или URL, подменять данные через Model Context Protocol, отравлять MCP-инструменты или заставлять легитимный сервер MCP обрабатывать внешние вредоносные данные. Исследователь обнаружил цепочки атак, позволяющие считывать секретные файлы, создавать JSON-файлы со ссылками на ресурсы атакующего, менять настройки IDE, пересобирать рабочие конфигурации и в итоге добиваться выполнения произвольного кода. Особенно опасно то, что многие AI-агенты автоматически одобряют изменения в файлах проекта, что открывает путь к атаке без какого-либо участия пользователя.