Крупное исследование в области кибербезопасности выявило принципиально новый класс уязвимостей, который затрагивает практически все ведущие среды разработки (Integrated Development Environment, IDE) и ассистенты для программирования с искусственным интеллектом на рынке. Атака, получившая название IDEsaster, использует фундаментальные функции самих платформ IDE для утечки данных и выполнения удаленного кода, ставя под угрозу миллионы разработчиков по всему миру.
Шестимесячное исследование позволило идентифицировать более 30 отдельных уязвимостей в более чем 10 ключевых продуктах. В список попали такие популярные решения, как GitHub Copilot, Cursor, Windsurf, Kiro.dev, Zed.dev, Roo Code, JetBrains Junie, Cline, Gemini CLI и Claude Code. В результате было присвоено 24 идентификатора CVE (Common Vulnerabilities and Exposures, база данных публичных уязвимостей), а крупные вендоры, включая AWS (AWS-2025-019), выпустили срочные рекомендации по безопасности.
В отличие от ранее известных уязвимостей, которые были направлены на конкретные компоненты приложений, IDEsaster использует возможности базового слоя самой IDE. Такой фундаментальный подход привел к тому, что 100% протестированных AI-IDE и ассистентов, интегрирующихся с популярными средами разработки, оказались уязвимыми к этой новой цепочке атак.
Новая модель атаки состоит из трех этапов: внедрение в промпт (Prompt Injection) → использование инструментов AI → эксплуатация базовых функций IDE. Злоумышленники сначала перехватывают контекст работы AI-агента через различные векторы, такие как вредоносные (malicious) файлы правил, MCP-серверы (Model Context Protocol), deeplinks или даже имена файлов. Затем инструменты AI-агента используются для выполнения действий, которые активируют скрытые возможности IDE. В конечном счете, эти базовые функции эксплуатируются для утечки конфиденциальной информации или выполнения произвольных команд на машине разработчика.
Как пояснил исследователь, стоящий за этим открытием, данная ситуация переопределяет модель угроз. Производители AI-IDE по сути игнорировали базовое программное обеспечение среды разработки как часть угроз, считая его по умолчанию безопасным из-за долгой истории использования. Однако, как только в среду добавляются автономные AI-агенты, те же самые унаследованные функции могут быть использованы в качестве оружия.
Три ключевых примера демонстрируют серьезность уязвимостей IDEsaster. Во-первых, атаки через Remote JSON Schema затрагивают Visual Studio Code, JetBrains IDE и Zed.dev, позволяя эксфильтрировать данные путем автоматической отправки GET-запросов на контролируемые злоумышленником домены. Во-вторых, уязвимости перезаписи настроек IDE позволяют выполнить удаленный код путем манипуляции конфигурационными файлами, такими как ".vscode/settings.json" или ".idea/workspace.xml". В-третьих, настройки Multi-Root Workspace в Visual Studio Code предоставляют дополнительную поверхность для атаки, позволяя обходить элементы контроля безопасности.
В ответ на обнаруженные угрозы вендоры начали выпускать исправления. GitHub Copilot устранил несколько уязвимостей, включая CVE-2025-53773 и CVE-2025-64660. Cursor выпустил патчи для CVE-2025-49150, CVE-2025-54130 и CVE-2025-61590. Другие продукты, включая Kiro.dev и Roo Code, также выпустили обновления. При этом некоторые поставщики, например Claude Code, пока предпочли минимизировать риски через предупреждения в документации, а не через изменения кода.
Исследование также вводит новый принцип безопасности под названием "Secure for AI" (Безопасность для ИИ), который расширяет концепцию "безопасности по умолчанию" (secure-by-design), явно учитывая AI-компоненты. Для разработчиков основными рекомендациями стали: использовать AI-инструменты только с доверенными проектами, настраивать обязательное подтверждение действий человеком (human-in-the-loop) и тщательно проверять используемые MCP-серверы. Для вендоров критически важно внедрять инструменты с ограниченным набором возможностей (capability-scoped tools), постоянно мониторить функции IDE на предмет новых векторов атаки, исходить из того, что внедрение в промпт всегда возможно, а также применять песочницы (sandboxing) и контроль исходящего трафика (egress controls).
Эти выводы подчеркивают серьезную проблему, возникающую по мере интеграции искусственного интеллекта в инструменты разработки: унаследованные функции, созданные для взаимодействия с человеком, могут стать опасными, когда к ним получают доступ автономные AI-агенты, действующие под влиянием злоумышленника.
