Mais de 30 vulnerabilidades de segurança foram descobertas em diversas IDEs (Integrated Development Environments) que utilizam inteligência artificial (IA).
Essas plataformas combinam técnicas de prompt injection com funcionalidades legítimas para possibilitar tanto a exfiltração de dados quanto a execução remota de código.
O conjunto dessas falhas foi batizado de IDEsaster pelo pesquisador de segurança Ari Marzouk (MaccariTA).
Entre os IDEs afetados estão nomes populares e suas extensões, como Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie e Cline.
Até o momento, 24 dessas vulnerabilidades receberam identificadores CVE.
Segundo Marzouk, o aspecto mais surpreendente dessa pesquisa foi constatar que múltiplas cadeias de ataque universais impactaram todos os IDEs com IA testados.
“Esses IDEs e assistentes de programação que se integram a eles ignoram os riscos provenientes do próprio software base.
Eles presumem que suas funcionalidades são seguras por existirem há anos, mas quando agentes de IA atuam de forma autônoma, esses mesmos recursos podem ser explorados para criar vetores de exfiltração de dados e execução remota de código”, explicou em entrevista ao The Hacker News.
O problema fundamental surge da combinação de três vetores comuns em IDEs movidos a IA:
1.
A evasão das barreiras (guardrails) do large language model (LLM) por meio de prompt injection para manipular o contexto e controlar o agente.
2.
A capacidade do agente de IA de executar ações automaticamente, sem interação do usuário, por meio de chamadas automáticas a ferramentas autorizadas.
3.
O acionamento de funcionalidades legítimas do IDE que possibilitam ultrapassar limites de segurança, resultando no vazamento de dados sensíveis ou na execução de comandos arbitrários.
Diferentemente de ataques anteriores, que abusavam de ferramentas vulneráveis em conjunto com prompt injections para alterar a configuração do agente de IA, o IDEsaster utiliza esses prompts e as ferramentas do agente para ativar funcionalidades legítimas do IDE, criando uma cadeia de ataques que culminam em vazamento de informações ou execução de código malicioso.
O sequestro de contexto pode ocorrer de diversas formas, como a inserção de URLs ou textos copiados que contenham caracteres invisíveis ao olho humano, mas interpretados pelo modelo.
Também é possível contaminar o contexto via servidores Model Context Protocol (MCP), seja por manipulação direta (tool poisoning), ataques do tipo rug pull, ou quando um servidor legítimo processa dados controlados por um atacante.
Entre as explorações identificadas estão:
-
CVE-2025-49150
(Cursor),
CVE-2025-53097
(Roo Code),
CVE-2025-58335
(JetBrains Junie), além de vulnerabilidades no GitHub Copilot, Kiro.dev e Claude Code — que permitem, via prompt injection, a leitura de arquivos sensíveis e a gravação de arquivos JSON com esquemas remotos hospedados em domínios controlados por atacantes.
Assim, o IDE realiza requisições GET que resultam no vazamento dos dados.
-
CVE-2025-53773
(GitHub Copilot),
CVE-2025-54130
(Cursor),
CVE-2025-53536
(Roo Code),
CVE-2025-55012
(Zed.dev) e Claude Code — ataques que modificam arquivos de configuração do IDE (como “.vscode/settings.json” ou “.idea/workspace.xml”) para inserir caminhos maliciosos em variáveis como “php.validate.executablePath” ou “PATH_TO_GIT”, permitindo execução remota de código.
-
CVE-2025-64660
(GitHub Copilot),
CVE-2025-61590
(Cursor) e
CVE-2025-58372
(Roo Code) — utilizam prompt injection para alterar arquivos de configuração de workspace multi-root (*.code-workspace), sobrepondo configurações e possibilitando execução arbitrária de comandos.
É importante destacar que as duas últimas explorações só são viabilizadas porque agentes de IA estão configurados para autorizar automaticamente a gravação de arquivos dentro do workspace.
Isso permite que o invasor escreva configurações maliciosas sem interação do usuário ou necessidade de reinicializar o ambiente.
Diante do uso crescente de agentes IA autônomos, Marzouk recomenda:
- Utilizar IDEs e agentes IA apenas com projetos confiáveis.
Arquivos maliciosos, instruções ocultas no código-fonte ou mesmo nomes de arquivos podem servir como vetores de prompt injection.
- Conectar-se somente a servidores MCP confiáveis, monitorando-os constantemente para mudanças inesperadas, já que até servidores legítimos podem ser comprometidos.
É fundamental entender o fluxo de dados dessas ferramentas, pois elas podem obter informações de fontes controladas por atacantes, como pull requests maliciosos do GitHub.
- Revisar manualmente conteúdos adicionados, especialmente URLs, para identificar instruções escondidas via comentários HTML, textos invisíveis em CSS ou caracteres Unicode não visíveis.
Desenvolvedores de agentes IA e IDEs devem aplicar o princípio do menor privilégio nas ferramentas LLM, minimizar vetores de prompt injection, reforçar os prompts do sistema, utilizar sandboxing para execução de comandos e realizar testes rigorosos contra path traversal, vazamento de dados e injeção de comandos.
A divulgação dessas vulnerabilidades ocorre simultaneamente à descoberta de outras falhas graves em ferramentas de codificação com IA, incluindo:
- Uma falha de command injection no OpenAI Codex CLI (CVE-2025-61260), que executa comandos configurados via servidores MCP sem permissão explícita do usuário, possibilitando execução arbitrária caso arquivos sensíveis sejam atacados.
- Prompt injection indireto no Google Antigravity por meio de fontes web contaminadas, que podem induzir o agent Gemini a capturar credenciais e código sensível, exfiltrando dados via um subagente no navegador.
- Várias vulnerabilidades no Google Antigravity que permitem exfiltração de dados, execução remota e instalação de backdoors persistentes em workspaces confiáveis maliciosos.
- Uma nova categoria de vulnerabilidade chamada PromptPwnd, que explora agentes IA conectados a pipelines vulneráveis do GitHub Actions ou GitLab CI/CD, induzindo-os a executar ferramentas privilegiadas internas com acesso a informações confidenciais ou comando remoto.
Com o avanço dos agentes IA em ambientes corporativos, esses achados evidenciam a ampliação da superfície de ataque das máquinas de desenvolvimento.
Isso ocorre porque modelos LLM não distinguem entre instruções legítimas e conteúdo externo que possa conter prompts maliciosos embutidos.
“Qualquer repositório que utilize IA para triagem de issues, rotulagem de pull requests, sugestões de código ou respostas automáticas está sujeito a prompt injection, command injection, exfiltração de segredos, comprometimento do repositório e da cadeia de suprimentos”, alertou o pesquisador Rein Daelman.
Marzouk reforça a importância do paradigma “Secure for AI”, criado para enfrentar os desafios de segurança trazidos pelas funcionalidades de IA.
Esse movimento busca garantir que produtos sejam seguros por padrão e por design, considerando desde o início como componentes de IA podem ser explorados ao longo do tempo.
“Esse é mais um exemplo que demonstra a necessidade do princípio ‘Secure for AI’.
Integrar agentes IA em aplicações existentes, como IDEs ou GitHub Actions, cria riscos emergentes que precisam ser tratados”, concluiu o pesquisador.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...