Думали, что Cursor просто пишет код? А он еще и секреты ворует (если попросить правильно)

Более 30 уязвимостей обнаружено в популярных средах разработки с встроенным ИИ, и все они позволяют злоумышленникам с помощью сочетания prompt-инъекций и штатных функций IDE незаметно воровать данные или удалённо выполнять команды. Исследователь Ари Марзуки (MaccariTA) назвал серию проблем IDEsaster — и под удар попали такие инструменты, как Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie и Cline. Для 24 уязвимостей уже присвоены CVE-идентификаторы.

По словам исследователя, наиболее поразительным открытием стало то, что единые цепочки атак срабатывали буквально во всех проверенных AI-IDE. Разработчики помощников и расширений годами считали встроенные функции IDE безопасными, но ситуация меняется, когда в экосистему добавляются автономные ИИ-агенты: привычные механизмы начинают работать как инструменты для кражи данных или исполнения произвольного кода.

Суть уязвимостей заключается в комбинации трёх типичных для AI-IDE векторов: обход защит LLM через prompt-инъекции, автоматическое выполнение действия агентом без участия пользователя и использование легитимных возможностей IDE для выхода за пределы предполагаемой зоны безопасности. В отличие от прежних сценариев, где prompt-инъекции комбинировались с уязвимыми инструментами, IDEsaster использует обычные функции среды разработки для утечки данных или запуска команд.

Хакеры могут подменять контекст множеством способов: вставлять скрытые символы в текст или URL, подменять данные через Model Context Protocol, отравлять MCP-инструменты или заставлять легитимный сервер MCP обрабатывать внешние вредоносные данные. Исследователь обнаружил цепочки атак, позволяющие считывать секретные файлы, создавать JSON-файлы со ссылками на ресурсы атакующего, менять настройки IDE, пересобирать рабочие конфигурации и в итоге добиваться выполнения произвольного кода. Особенно опасно то, что многие AI-агенты автоматически одобряют изменения в файлах проекта, что открывает путь к атаке без какого-либо участия пользователя.

Марзуки рекомендует использовать AI-IDE только для доверенных проектов, проверять любые сторонние источники и URL на скрытые инструкции, подключаться лишь к проверенным MCP-серверам и тщательно следить за их работой. Разработчикам он советует ограничивать возможности инструментов LLM, минимизировать векторы prompt-инъекций, усиливать системные подсказки, применять песочницы и отдельно тестировать защиту от обхода путей, утечек данных и внедрения команд.

Параллельно появились сведения и о других уязвимостях в инструментах разработки с ИИ. В OpenAI Codex CLI выявлена критическая ошибка, позволяющая выполнять команды при запуске за счёт безоговорочного доверия конфигурации MCP. В Google Antigravity нашли цепочки атак на основе непрямых prompt-инъекций, позволяющих красть учётные данные или вставлять постоянный бэкдор. А новая категория уязвимостей PromptPwnd демонстрирует, как можно обмануть связанных с CI/CD ИИ-агентов и заставить их выполнять привилегированные действия.

Все эти находки подчёркивают, что ИИ-агенты значительно расширяют поверхность атаки: модели не различают реальные инструкции пользователя и вредоносные фрагменты, незаметно попавшие в контекст. Как отметил исследователь Рейн Даэлман, это создаёт угрозу утечки секретов, внедрения команд и компрометации репозиториев для любых проектов, использующих ИИ для автоматизации задач.

Марзуки считает, что такие случаи показывают необходимость нового подхода к безопасности — парадигмы Secure for AI, которая учитывает, как ИИ-компоненты могут быть использованы в атаке на протяжении всего жизненного цикла продукта.