Se han revelado más de 30 vulnerabilidades de seguridad en varios entornos de incremento integrados (IDE) impulsados por inteligencia sintético (IA) que combinan primitivas de inyección rápida con características legítimas para ganar la exfiltración de datos y la ejecución remota de código.
Las deficiencias de seguridad han sido nombradas colectivamente IDEsaster por el investigador de seguridad Ari Marzouk (MaccariTA). Afectan a IDE y extensiones populares como Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie y Cline, entre otras. De ellos, a 24 se les han asignado identificadores CVE.
“Creo que el hecho de que múltiples cadenas de ataques universales afectaran a todos y cada uno de los IDE de IA probados es el hallazgo más sorprendente de esta investigación”, dijo Marzouk a The Hacker News.
“Todos los IDE de IA (y los asistentes de codificación que se integran con ellos) ignoran efectivamente el software cojín (IDE) en su maniquí de amenaza. Tratan sus funciones como inherentemente seguras porque han estado allí durante primaveras. Sin bloqueo, una vez que se agregan agentes de IA que pueden hacer de forma autónoma, las mismas funciones pueden convertirse en armas para la exfiltración de datos y las primitivas RCE”.
En esencia, estos problemas encadenan tres vectores diferentes que son comunes a los IDE impulsados por IA:
- Evite las barreras de seguridad de un maniquí de verbo espacioso (LLM) para secuestrar el contexto y realizar las órdenes del atacante (asimismo conocido como inyección rápida)
- Realice ciertas acciones sin requerir ninguna interacción del afortunado a través de llamadas de herramientas aprobadas automáticamente por un agente de IA.
- Activar las características legítimas de un IDE que permiten a un atacante romper el margen de seguridad para filtrar datos confidenciales o ejecutar comandos arbitrarios.
Los problemas destacados son diferentes de las cadenas de ataques anteriores que aprovecharon las inyecciones rápidas pegado con herramientas vulnerables (o abusaron de herramientas legítimas para realizar acciones de recital o escritura) para modificar la configuración de un agente de IA para ganar la ejecución de código u otro comportamiento no deseado.
Lo que hace que IDEsaster sea extraordinario es que requiere primitivas de inyección rápida y las herramientas de un agente, usándolas para activar funciones legítimas del IDE para provocar una fuga de información o la ejecución de comandos.
El secuestro de contexto se puede ganar de innumerables maneras, incluso a través de referencias de contexto agregadas por el afortunado que pueden tomar la forma de URL pegadas o texto con caracteres ocultos que no son visibles para el ojo humano, pero que el LLM puede analizar. Alternativamente, el contexto puede contaminarse mediante el uso de un servidor Model Context Protocol (MCP) mediante envenenamiento de herramientas o extirpación de alfombras, o cuando un servidor MCP genuino analiza la entrada controlada por el atacante desde una fuente externa.
Algunos de los ataques identificados posibles gracias a la nueva cautiverio de exploits son los siguientes:
- CVE-2025-49150 (cursor), CVE-2025-53097 (código Roo), CVE-2025-58335 (JetBrains Junie), GitHub Copilot (sin CVE), Kiro.dev (sin CVE) y Claude Code (abordado con una advertencia de seguridad) – Usar una inyección rápida para percibir un archivo confidencial utilizando una útil legítima (“read_file”) o pusilánime (“search_files” o “search_project”) y escribir un archivo JSON a través de una útil legítima (“write_file” o “edit_file)) con un esquema JSON remoto alojado en un dominio controlado por un atacante, lo que provoca que los datos se filtren cuando el IDE realiza una solicitud GET
- CVE-2025-53773 (GitHub Copilot), CVE-2025-54130 (Cursor), CVE-2025-53536 (Código Roo), CVE-2025-55012 (Zed.dev) y Claude Code (abordado con una advertencia de seguridad) – Uso de una inyección rápida para editar archivos de configuración IDE (“.vscode/settings.json” o “.idea/workspace.xml”) para ganar la ejecución del código configurando “php.validate.executablePath” o “PATH_TO_GIT” en la ruta de un archivo ejecutable que contiene código zorro
- CVE-2025-64660 (copilot de GitHub), CVE-2025-61590 (cursor) y CVE-2025-58372 (código Roo) – Uso de una inyección rápida para editar archivos de configuración del espacio de trabajo (*.code-workspace) y anular la configuración del espacio de trabajo de múltiples raíces para ganar la ejecución del código.
Vale la pena señalar que los dos últimos ejemplos dependen de que un agente de IA esté configurado para aprobar automáticamente la escritura de archivos, lo que luego permite que un atacante con la capacidad de influir en las indicaciones para provocar que se escriban configuraciones maliciosas en el espacio de trabajo. Pero transmitido que este comportamiento se aprueba automáticamente de forma predeterminada para los archivos del espacio de trabajo, conduce a la ejecución de código gratuito sin ninguna interacción del afortunado ni la aprieto de retornar a rasgar el espacio de trabajo.
Con inyecciones rápidas y jailbreaks como primer paso para la cautiverio de ataques, Marzouk ofrece las siguientes recomendaciones:
- Utilice solamente IDE de IA (y agentes de IA) con proyectos y archivos confiables. Los archivos de reglas maliciosos, las instrucciones ocultas en el interior del código fuente u otros archivos (README) e incluso los nombres de los archivos pueden convertirse en vectores de inyección rápida.
- Conéctese solamente a servidores MCP confiables y supervise continuamente estos servidores para detectar cambios (incluso un servidor confiable puede encontrarse afectado). Revisar y comprender el flujo de datos de las herramientas MCP (por ejemplo, una útil MCP legítima podría extraer información de una fuente controlada por el atacante, como un PR de GitHub).
- Revise manualmente las fuentes que agregue (como a través de URL) en rastreo de instrucciones ocultas (comentarios en HTML/texto oculto css/caracteres Unicode invisibles, etc.)
Se recomienda a los desarrolladores de agentes de IA e IDE de IA que apliquen el principio de privilegio leve a las herramientas LLM, minimicen los vectores de inyección de mensajes, refuercen el mensaje del sistema, utilicen sandboxing para ejecutar comandos, realicen pruebas de seguridad para itinerario de ruta, fuga de información e inyección de comandos.
La divulgación coincide con el descubrimiento de varias vulnerabilidades en las herramientas de codificación de IA que podrían tener una amplia tono de impactos:
- Una error de inyección de comandos en OpenAI Codex CLI (CVE-2025-61260) que aprovecha el hecho de que el software confía implícitamente en los comandos configurados a través de las entradas del servidor MCP y los ejecuta al inicio sin apañarse el permiso del afortunado. Esto podría provocar la ejecución de comandos arbitrarios cuando un actor malintencionado pueda alterar los archivos “.env” y “./.codex/config.toml” del repositorio.
- Una inyección inmediata indirecta en Google Antigravity utilizando una fuente web envenenada que puede estilarse para manipular a Gemini para que recopile credenciales y código confidencial del IDE de un afortunado y extraiga la información utilizando un subagente del navegador para navegar a un sitio zorro.
- Múltiples vulnerabilidades en Google Antigravity que podrían resultar en filtración de datos y ejecución remota de comandos a través de inyecciones indirectas, así como disfrutar un espacio de trabajo zorro confiable para incorporar una puerta trasera persistente para ejecutar código gratuito cada vez que se inicie la aplicación en el futuro.
- Una nueva clase de vulnerabilidad indicación PromptPwnd que apunta a agentes de IA conectados a GitHub Actions (o canalizaciones de GitLab CI/CD) vulnerables con inyecciones rápidas para engañarlos para que ejecuten herramientas privilegiadas integradas que conducen a la fuga de información o la ejecución de código.
A medida que las herramientas de IA agentes se vuelven cada vez más populares en entornos empresariales, estos hallazgos demuestran cómo las herramientas de IA amplían la superficie de ataque de las máquinas de incremento, a menudo aprovechando la incapacidad de un LLM para distinguir entre las instrucciones proporcionadas por un afortunado para completar una tarea y el contenido que puede ingerir de una fuente externa, que, a su vez, puede contener un mensaje zorro incorporado.
“Cualquier repositorio que utilice IA para la clasificación de problemas, el etiquetado de relaciones públicas, las sugerencias de código o las respuestas automáticas corre el aventura de sufrir una inyección rápida, una inyección de comandos, una exfiltración secreta, un compromiso del repositorio y un compromiso de la cautiverio de suministro”, dijo el investigador de Aikido Rein Daelman.
Marzouk asimismo dijo que los descubrimientos enfatizaron la importancia de “Secure for AI”, que es un nuevo tipo que ha sido acuñado por el investigador para topar los desafíos de seguridad introducidos por las características de AI, garantizando así que los productos no solo sean seguros por defecto y seguros por diseño, sino que asimismo se conciban teniendo en cuenta cómo se puede propasarse de los componentes de AI con el tiempo.
“Este es otro ejemplo de por qué es necesario el principio ‘Seguro para la IA'”, afirmó Marzouk. “Conectar agentes de IA a aplicaciones existentes (en mi caso IDE, en su caso GitHub Actions) crea nuevos riesgos emergentes”.
