Egy fél éven át tartó, mesterséges intelligenciával támogatott fejlesztői eszközöket vizsgáló kutatás több mint harminc biztonsági hibát tárt fel, amelyek érzékeny adatok kiszivárgását és egyes esetekben távoli kódfuttatást is lehetővé tesznek.
A stílszerűen IDEsasternek nevezett jelentés szerint minden tesztelt AI-integrált fejlesztői környezet - köztük a Visual Studio Code, a JetBrains termékei, a Zed és több más népszerű kódasszisztens - sebezhető volt, de az érintett eszközök listáján szerepel a GitHub Copilot, a Cursor, a Windsurf, a Kiro.dev, a Zed.dev, a Roo Code, a Junie, a Cline, a Gemini CLI és a Claude Code is.
Összesen huszonnégy hivatalos CVE-azonosítót regisztráltak, az AWS pedig további biztonsági figyelmeztetéseket adott ki.
A problémák forrása abban rejlik, hogy az AI-agentek képesek önállóan olvasni, szerkeszteni és létrehozni fájlokat, miközben az IDE-k eredetileg nem erre a működésre lettek tervezve. A fejlesztői környezetekben évek óta jelen lévő, korábban ártalmatlan funkciók így új támadási felületet nyitottak meg, Ari Marzouk biztonsági kutató szerint az AI-asszisztensek figyelmen kívül hagyják az alap szoftverek biztonsági modelljét, és a régi funkciókat továbbra is biztonságosnak tekintik, holott az autonóm működés miatt ezek könnyen fegyverként használhatók adatlopásra vagy kódfuttatásra.
Egy konkrét példa szerint egy olyan JSON-fájl is elegendő, amely távoli sémára hivatkozik, mivel az IDE automatikusan letölti azt, és közben kiszivárogtathatja az AI által begyűjtött érzékeny adatokat. Ez a hiba többek között a Visual Studio Code, a JetBrains és a Zed rendszereiben is megfigyelhető volt. Egy másik esetben a kutatók teljes távoli kódfuttatást értek el azáltal, hogy módosították az IDE beállításait, így az alkalmazás automatikusan végrehajtotta a beágyazott támadókódot, amint egy adott fájlt megnyitottak.
A jelentés szerint rövid távon nem lehet teljesen megszüntetni ezt a sebezhetőségi osztályt, mivel a jelenlegi fejlesztői környezeteket nem az AI-ra tervezték. Bár a fejlesztők és az eszközgyártók számára léteznek ideiglenes védelmi megoldások, hosszú távon az egyetlen igazi megoldás az lehet, ha az IDE-k működését alapjaiban gondolják újra, és szigorúan korlátozzák az AI-agentek olvasási, írási és végrehajtási jogosultságait.
