AI编程工具“IDEsaster”漏洞分析：数据窃取与远程代码执行攻击链

近期，安全研究人员在众多集成了人工智能的集成开发环境（IDE）中发现了超过三十个安全漏洞。这些漏洞通过将提示词注入攻击与IDE的合法功能相结合，构成了严重的数据窃取与远程代码执行风险。

漏洞概述：攻击面与核心机制

安全研究员Ari Marzouk将这些安全问题统称为“IDEsaster”。受影响的AI编程工具包括Cursor、Windsurf、Kiro.dev、GitHub Copilot、Zed.dev、Roo Code、Junie和Cline等主流产品及其扩展插件，其中已有24个漏洞被分配了CVE编号。

研究人员指出，最令人意外的发现是，所有被测试的AI IDE都受到多种通用攻击链的影响。其核心问题在于，AI工具的威胁模型普遍忽略了IDE自身。虽然IDE的许多固有功能已存在多年且被视为安全，但一旦引入了能够自主行动的AI智能体，这些同样的功能就可能被武器化，成为数据外泄和远程代码执行的利用途径。

“IDEsaster”类漏洞的核心在于，攻击者能够串联起AI驱动型IDE中常见的三类攻击向量：

1. 绕过LLM防护：通过提示词注入劫持模型上下文，迫使其执行攻击者指令。
2. 滥用自动审批工具：利用AI智能体自动批准的工具调用，无需用户交互即可执行操作。
3. 触发IDE合法功能：最终激活IDE本身的合法功能，从而突破安全边界，泄露敏感数据或执行任意命令。

与传统攻击链不同，IDEsaster的创新之处在于，它利用提示词注入和智能体的工具，去激活IDE自身的合法、但可能脆弱的机制，最终达成攻击目的。

攻击链解析：从提示注入到代码执行

上下文劫持可通过多种方式实现。例如，用户粘贴的URL、包含隐藏字符的文本，甚至工具投毒攻击（滥用模型上下文协议服务器MCP）都可能成为污染模型上下文的攻击媒介。

目前已发现利用该新型攻击链的多个具体实例：

• 利用远程JSON模式的数据外泄：涉及CVE-2025-49150（Cursor）、CVE-2025-53097（Roo Code）、CVE-2025-58335（JetBrains Junie）等漏洞，影响多款AI IDE。攻击者通过提示注入，先利用文件读取工具获取敏感文件内容，再写入一个引用远程JSON模式（托管于攻击者域名）的JSON文件。当IDE发起请求验证该模式时，敏感数据即被发送至攻击者服务器。
• 篡改IDE设置实现代码执行：涉及CVE-2025-53773（GitHub Copilot）、CVE-2025-54130（Cursor）等漏洞。攻击者通过提示注入编辑IDE的配置文件，修改诸如php.validate.executablePath等路径设置，将其指向恶意可执行文件。
• 编辑工作区配置文件实现代码执行：涉及CVE-2025-64660（GitHub Copilot）、CVE-2025-61590（Cursor）等漏洞。攻击者通过提示注入直接修改工作区配置文件，覆写关键设置以达成任意代码执行。

值得注意的是，后两种攻击方式得以成功，很大程度上是因为AI智能体被配置为自动批准某些文件写入操作。这使得能够控制提示词的攻击者可以轻松写入恶意配置。由于对工作区内部文件的此类修改在默认情况下通常被自动批准，因此攻击链的执行可能无需任何用户交互。

缓解与防护建议

鉴于提示词注入通常是此类攻击的第一步，研究人员为开发者提出以下防护建议：

• 限制使用范围：仅在受信任的项目和文件中使用AI编程助手。需警惕恶意规则文件、隐藏于源代码、README甚至文件名中的攻击指令。
• 谨慎连接外部服务：仅连接到可信任的MCP服务器，并持续监控其变更，仔细审查MCP工具的数据流。
• 人工审查外部来源：对于需要添加到项目中的外部来源，务必进行手动审查，检查是否隐藏了恶意指令。
• 开发者加固措施：对于AI工具和IDE的开发者而言，应对LLM工具应用最小权限原则，强化系统提示词，使用沙箱运行命令，并对路径遍历、信息泄露和命令注入进行严格的安全测试，以提升整个开发环境攻击面的安全性。

行业影响：AI工具扩大开发环境攻击面

此次漏洞披露恰逢多起AI编码工具安全问题曝光，凸显了AI技术引入的新风险：

• OpenAI Codex CLI命令注入：由于程序隐式信任通过MCP服务器配置的命令并在启动时自动执行，导致攻击者可篡改配置文件实现任意命令执行。
• Google Antigravity间接提示注入：通过投毒的网页源，攻击者可操纵Gemini从用户IDE中窃取凭证和敏感代码。
• 针对CI/CD管道的新漏洞：一种名为“PromptPwnd”的新型漏洞，通过提示注入攻击连接至CI/CD管道的AI智能体，诱骗其执行高权限的内置工具，导致信息泄露或代码执行。

随着智能体AI工具在企业中日益普及，这些发现清晰地展示了AI如何显著扩大开发机器的攻击面。其根本弱点在于，当前的LLM难以区分用户为完成任务而提供的指令与从外部来源（可能包含恶意提示词）摄取的内容。

研究人员警告，任何使用AI进行问题分类、PR标记、代码建议或自动回复的代码仓库，都面临着提示词注入、命令注入、密钥泄露、仓库被攻陷乃至上游供应链被破坏的潜在风险。

参考来源： Researchers Uncover 30+ Flaws in AI Coding Tools Enabling Data Theft and RCE Attacks https://thehackernews.com/2025/12/researchers-uncover-30-flaws-in-ai.html