Корпорация Microsoft официально подтвердила наличие двух серьезных уязвимостей в популярных инструментах разработки - GitHub Copilot и Visual Studio Code. Обнаруженные недостатки безопасности позволяют злоумышленникам обходить базовые защитные механизмы, что создает непосредственную угрозу для миллионов разработчиков по всему миру.
Детали уязвимостей
Обе уязвимости были зарегистрированы 11 ноября 2025 года и получили статус «Важные» в системе классификации угроз Microsoft. Первая проблема безопасности, идентифицированная как CVE-2025-62449, затрагивает расширение Copilot Chat для Visual Studio Code. Уязвимость связана с неправильной обработкой обхода путей (path traversal) и классифицируется как CWE-22. Для эксплуатации данной уязвимости злоумышленнику требуется локальный доступ к системе с ограниченными привилегиями, однако потенциальный ущерб может быть значительным. Рейтинг CVSS для этой уязвимости составляет 6.8 баллов, что указывает на существенный уровень опасности.
Вторая уязвимость под идентификатором CVE-2025-62453 представляет еще более серьезную проблему, поскольку затрагивает одновременно GitHub Copilot и Visual Studio Code. В отличие от первой уязвимости, связанной с обходом путей, данная проблема демонстрирует фундаментальные недостатки в системе валидации выходных данных генеративного искусственного интеллекта. Недостаточная фильтрация результатов работы AI позволяет обходить защитные проверки, что ставит под угрозу целостность кода и системы контроля доступа. CVSS-рейтинг этой уязвимости составляет 5.0 баллов.
Эксперты по кибербезопасности выделяют несколько потенциальных векторов атаки. Во-первых, локальные злоумышленники могут манипулировать доступом к файлам, получать конфиденциальную информацию или внедрять вредоносный код в проекты разработки. Во-вторых, уязвимость обхода путей особенно опасна для репозиториев исходного кода, файлов конфигурации и секретов разработки, хранящихся на рабочих станциях программистов.
Особую тревогу вызывает уязвимость в системе валидации генеративного искусственного интеллекта. Этот недостаток предполагает, что выходные данные Copilot могут обходить проверки безопасности, предназначенные для предотвращения уязвимых предложений кода или несанкционированных шаблонов доступа. Следовательно, разработчики, полагающиеся на AI-предложения, могут непреднамеренно внедрять скомпрометированный код в производственные среды.
Компания Microsoft уже выпустила исправления для обеих уязвимостей. Организациям, использующим GitHub Copilot или Visual Studio Code, рекомендуется немедленно обновить программное обеспечение до защищенных версий. Своевременное применение патчей критически важно для поддержания надежной позиции безопасности.
Данный инцидент подчеркивает системные проблемы в обеспечении безопасности инструментов разработки с искусственным интеллектом. По мере того как организации все активнее внедряют генеративный искусственный интеллект для помощи в программировании, вопросы безопасности должны оставаться приоритетными. Быстрое раскрытие информации и выпуск исправлений со стороны Microsoft демонстрируют приверженность компании безопасности продуктов. Тем не менее, разработчикам необходимо сохранять бдительность в отношении потенциальных рисков, присущих коду, сгенерированному искусственным интеллектом.
Специалисты рекомендуют придерживаться комплексного подхода к безопасности. Регулярные обновления, тщательный анализ кода и стратегии защиты в глубину остаются необходимыми практиками в современной среде разработки. Кроме того, организациям следует пересмотреть свои политики безопасности при использовании AI-инструментов, учитывая новые векторы атаки.
Ситуация с уязвимостями в GitHub Copilot и Visual Studio Code служит важным напоминанием о том, что даже самые передовые инструменты разработки не застрахованы от угроз безопасности. Интеграция искусственного интеллекта в рабочие процессы разработки требует переосмысления традиционных подходов к защите программного обеспечения. Соответственно, сообществу разработчиков и специалистам по безопасности предстоит совместно выработать новые стандарты и практики для безопасного использования AI-технологий в программировании.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-62449
- https://www.cve.org/CVERecord?id=CVE-2025-62453
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62449
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62453
