یک تحقیق شش‌ماهه بر روی ابزارهای توسعه با کمک هوش مصنوعی، بیش از سی آسیب‌پذیری امنیتی را کشف کرده است که امکان استخراج داده و در برخی موارد، اجرای کد از راه دور را فراهم می‌کند. این یافته‌ها که در گزارش تحقیقاتی IDEsaster تشریح شده‌اند، نشان می‌دهند که چگونه عوامل هوش مصنوعی تعبیه‌شده در IDEهایی مانند Visual Studio Code، محصولات JetBrains، Zed و دستیاران تجاری متعدد می‌توانند برای افشای اطلاعات حساس یا اجرای کدهای کنترل‌شده توسط مهاجم دستکاری شوند.

بر اساس این تحقیق، ۱۰۰٪ از IDEهای هوش مصنوعی و دستیاران کدنویسی آزمایش‌شده آسیب‌پذیر بودند. محصولات تحت تأثیر شامل GitHub Copilot، Cursor، Windsurf، Kiro.dev، Zed.dev، Roo Code، Junie، Cline، Gemini CLI و Claude Code می‌شوند که حداقل بیست و چهار CVE به آن‌ها اختصاص یافته و هشدارهای اضافی از AWS نیز صادر شده است.

مسئله اصلی از نحوه تعامل عوامل هوش مصنوعی با ویژگی‌های دیرینه IDEها ناشی می‌شود. این ویرایشگرها هرگز برای اجزای خودمختار قادر به خواندن، ویرایش و تولید فایل‌ها طراحی نشده بودند. هنگامی که دستیاران هوش مصنوعی این قابلیت‌ها را به دست آوردند، ویژگی‌های قبلاً بی‌خطر به سطوح حمله تبدیل شدند.

«تمام IDEهای هوش مصنوعی… عملاً نرم‌افزار پایه را… در مدل تهدید خود نادیده می‌گیرند. آن‌ها ویژگی‌های خود را ذاتاً ایمن می‌دانند زیرا سال‌هاست که وجود دارند. با این حال، هنگامی که عوامل هوش مصنوعی را اضافه می‌کنید که می‌توانند به طور خودمختار عمل کنند، همان ویژگی‌ها می‌توانند به ابزارهایی برای استخراج داده و RCE تبدیل شوند،» آری مرزوق، محقق امنیتی، در گفتگو با The Hacker News گفت.

بر اساس گزارش تحقیق، این یک زنجیره حمله مستقل از IDE است که با ربودن زمینه از طریق تزریق پرامپت آغاز می‌شود. دستورالعمل‌های پنهان می‌توانند در فایل‌های قوانین، READMEها، نام فایل‌ها یا خروجی‌های سرورهای MCP مخرب کاشته شوند. هنگامی که یک عامل آن زمینه را پردازش می‌کند، ابزارهای آن می‌توانند برای انجام اقدامات مشروعی هدایت شوند که رفتارهای ناامن را در IDE پایه فعال می‌کنند. مرحله نهایی از ویژگی‌های داخلی برای استخراج داده یا اجرای کد مهاجم در هر IDE هوش مصنوعی که لایه نرم‌افزاری پایه را به اشتراک می‌گذارد، سوءاستفاده می‌کند.

یک مثال مستند شامل نوشتن یک فایل JSON است که به یک شمای راه دور ارجاع می‌دهد. IDE به طور خودکار آن شما را واکشی می‌کند و پارامترهای تعبیه‌شده توسط عامل، از جمله داده‌های حساس جمع‌آوری‌شده در مراحل اولیه زنجیره را افشا می‌کند. Visual Studio Code، IDEهای JetBrains و Zed همگی این رفتار را از خود نشان دادند. حتی اقدامات حفاظتی توسعه‌دهندگان مانند پیش‌نمایش‌های تفاوت نیز درخواست خروجی را سرکوب نکردند.

یک مطالعه موردی دیگر، اجرای کامل کد از راه دور را از طریق تنظیمات دستکاری‌شده IDE نشان می‌دهد. با ویرایش یک فایل اجرایی که قبلاً در فضای کاری وجود دارد و سپس تغییر فیلدهای پیکربندی مانند php.validate.executablePath، یک مهاجم می‌تواند باعث شود IDE بلافاصله کد دلخواه را در لحظه باز شدن یا ایجاد یک نوع فایل مرتبط اجرا کند. ابزارهای JetBrains نیز آسیب‌پذیری مشابهی را از طریق فراداده فضای کاری نشان می‌دهند.

این گزارش نتیجه می‌گیرد که در کوتاه‌مدت، این دسته از آسیب‌پذیری‌ها قابل حذف نیستند زیرا IDEهای فعلی تحت آنچه محقق «اصل امن برای هوش مصنوعی» می‌نامد، ساخته نشده‌اند. راه‌حل‌هایی برای توسعه‌دهندگان و فروشندگان ابزار وجود دارد، اما راه‌حل بلندمدت نیازمند بازطراحی اساسی نحوه اجازه دادن IDEها به عوامل هوش مصنوعی برای خواندن، نوشتن و عمل کردن در داخل پروژه‌ها است.