El investigador de seguridad Ari Marzouk reveló el jueves más de 30 vulnerabilidades en entornos de desarrollo integrados impulsados por IA, exponiendo cómo actores maliciosos pueden explotar asistentes de codificación populares para robar datos sensibles y ejecutar comandos arbitrarios sin interacción del usuario.
Las vulnerabilidades, denominadas colectivamente IDEsaster, afectan plataformas ampliamente utilizadas, incluyendo Cursor, GitHub Copilot, Windsurf, Kiro.dev, Zed.dev, Roo Code, JetBrains Junie y Cline. Veinticuatro de las fallas han sido asignadas con identificadores CVE, y los expertos en seguridad advierten que los problemas provienen de cómo los agentes de IA armanizan características legítimas del IDE a través de la inyección de prompts.
“El hecho de que múltiples cadenas de ataque universales afectaran a todos y cada uno de los IDE de IA probados es el hallazgo más sorprendente de esta investigación”, dijo Marzouk a The Hacker News. “Todos los IDE de IA efectivamente ignoran el software base en su modelo de amenazas. Una vez que agregas agentes de IA que pueden actuar de forma autónoma, las mismas características pueden ser armamentizadas en primitivas de exfiltración de datos y RCE
Las cadenas de ataque combinan la inyección de prompts con llamadas a herramientas auto-aprobadas para activar funciones legítimas del IDE que rompen los límites de seguridad. En un vector de ataque que afecta a Cursor, Roo Code y JetBrains Junie, los prompts maliciosos instruyen a los agentes de IA a leer archivos sensibles y escribir archivos JSON con esquemas remotos alojados en dominios controlados por atacantes, causando filtración de datos cuando el IDE realiza solicitudes GET.
Otra cadena de ataque permite la ejecución arbitraria de código mediante la manipulación de archivos de configuración del IDE a través de inyección de prompts. La vulnerabilidad afecta a GitHub Copilot, Cursor, Roo Code y Zed.dev, permitiendo a los atacantes modificar archivos de configuración que establecen rutas ejecutables hacia código malicioso.
La divulgación coincide con una investigación separada del equipo Unit 42 de Palo Alto Networks que revela cómo la función de muestreo del Model Context Protocol crea nuevos vectores de ataque. Los investigadores demostraron tres ataques de prueba de concepto que incluyen robo de recursos a través de prompts ocultos, secuestro persistente de conversaciones e invocación encubierta de herramientas que permite operaciones de archivos no autorizadas.
fuente:https://thehackernews.com/
About the Author
