В ходе полугодового исследования, посвященного инструментам разработки с поддержкой искусственного интеллекта, были обнаружены более тридцати уязвимостей, которые могут привести к утечке данных и, в некоторых случаях, к удаленному выполнению кода. Эти результаты были представлены в отчете под названием "IDEsaster". Исследование показало, что ИИ-агенты, встроенные в такие IDE, как Visual Studio Code и продукты JetBrains, могут быть использованы для утечки конфиденциальной информации или выполнения кода, контролируемого злоумышленниками.
По данным исследования, все протестированные IDE и помощники по программированию оказались уязвимыми. К ним относятся GitHub Copilot, Cursor, Windsurf и другие, с как минимум двадцатью четырьмя зарегистрированными уязвимостями (CVE) и дополнительными предупреждениями от AWS. Основная проблема заключается в том, как ИИ-агенты взаимодействуют с устоявшимися функциями IDE, которые изначально не были разработаны для автономных компонентов, способных читать, редактировать и генерировать файлы.
Исследователь безопасности Ари Марзук отметил, что все ИИ-IDE фактически игнорируют базовое программное обеспечение в своей модели угроз. Они рассматривают свои функции как изначально безопасные, поскольку они существуют уже много лет. Однако с добавлением ИИ-агентов, которые могут действовать автономно, те же функции могут быть использованы для утечки данных и выполнения кода.
Отчет описывает универсальную цепочку атак, начинающуюся с захвата контекста через инъекцию команд. Злоумышленники могут внедрять скрытые инструкции в файлы правил, README, имена файлов или выводы с вредоносных серверов. Как только агент обрабатывает этот контекст, его инструменты могут быть направлены на выполнение легитимных действий, которые приводят к небезопасному поведению в базовой IDE.
Одним из примеров является создание JSON-файла, который ссылается на удаленную схему. IDE автоматически загружает эту схему, утечивая параметры, встроенные агентом, включая конфиденциальные данные, собранные ранее. Даже такие защитные механизмы, как предварительный просмотр изменений, не предотвращают исходящий запрос.
Отчет подчеркивает, что в краткосрочной перспективе устранить этот класс уязвимостей невозможно, так как текущие IDE не были созданы с учетом принципа "Безопасно для ИИ". Существуют меры по смягчению последствий как для разработчиков, так и для поставщиков инструментов, но долгосрочное решение требует коренной переработки того, как IDE позволяют ИИ-агентам читать, писать и действовать внутри проектов.