Vulnerabilidades críticas encontradas no GitHub Copilot, Gemini CLI, Claude e outras ferramentas de IA afetam milhões – Against Invaders

Vulnerabilidades críticas encontradas no GitHub Copilot, Gemini CLI, Claude e outras ferramentas de IA afetam milhões - Against Invaders

Um projeto inovador de pesquisa de segurança descobriu uma nova classe de vulnerabilidades que afeta praticamente todos os principais ambientes de desenvolvimento integrado (IDE) alimentados por IA e assistentes de codificação do mercado.

Apelidada de “IDEsaster”, esta cadeia de ataque explora recursos fundamentais de plataformas IDE subjacentes para exfiltrar dados e executar código remoto, impactando milhões de desenvolvedores em todo o mundo.

A pesquisa, conduzido durante seis meses, identificou mais de 30 vulnerabilidades de segurança separadas em mais de 10 produtos líderes de mercado, incluindo GitHub Copilot, Cursor, Windsurf e Kiro.dev, Zed.dev, Roo Code, JetBrains Junie, Cline, Gemini CLI e Claude Code.

As descobertas resultaram na atribuição de 24 CVEs e geraram avisos de segurança de grandes fornecedores, incluindo AWS (AWS-2025-019).

A cadeia de ataque IDEsaster

Ao contrário das vulnerabilidades divulgadas anteriormente que visavam componentes específicos do aplicativo, o IDEsaster aproveita recursos da própria camada IDE base.

Esta abordagem fundamental significa que 100% dos IDEs de IA testados e assistentes de codificação integrados com IDEs populares foram considerados vulneráveis ​​a esta nova cadeia de ataque.

A nova cadeia de ataque segue três estágios: Injeção de prompt → Ferramentas → Recursos básicos do IDE. Os invasores primeiro sequestram o contexto por meio de vários vetores de injeção imediata, incluindo arquivos de regras maliciosos, Servidores MCPlinks diretos ou até mesmo nomes de arquivos.

As ferramentas do agente de IA são então usadas para executar ações que acionam recursos subjacentes do IDE. Finalmente, os recursos básicos do IDE são explorados para obter vazamento de informações ou execução de comandos.

O pesquisador de segurança por trás da descoberta explicou que isso representa um modelo de ameaça redefinido: “Os IDEs de IA efetivamente ignoraram o software IDE básico como parte do modelo de ameaça, presumindo que ele era inerentemente seguro porque existia há anos.

No entanto, uma vez adicionados agentes de IA que possam agir de forma autônoma, os mesmos recursos legados podem ser transformados em armas.”

Três estudos de caso primários demonstram a gravidade das vulnerabilidades do IDEsaster. Os ataques remotos de esquema JSON afetam o Visual Studio Code, IDEs JetBrains e Zed.dev, permitindo a exfiltração de dados acionando automaticamente solicitações GET para domínios controlados pelo invasor.

As vulnerabilidades de substituição de configurações do IDE permitem a execução remota de código manipulando arquivos de configuração como .vscode/settings.json ou .idea/workspace.xml para executar comandos arbitrários.

Configurações do espaço de trabalho multi-raiz em Código do Visual Studio fornecem superfície de ataque adicional, permitindo a manipulação das configurações do espaço de trabalho para contornar os controles de segurança.

Mitigações

Copiloto GitHub abordou várias vulnerabilidades, incluindo CVE-2025-53773 e CVE-2025-64660.

O cursor recebeu patches para CVE-2025-49150, CVE-2025-54130 e CVE-2025-61590. Outros produtos afetados, incluindo Kiro.dev e Roo Code, também emitiram correções, embora alguns fornecedores como Claude Code tenham optado por abordar os riscos por meio de avisos de segurança em sua documentação, em vez de alterações no código.

A pesquisa introduz um novo princípio de segurança denominado “Seguro para IA”, estendendo os princípios de segurança desde o design para explicar explicitamente os componentes de IA.

Os desenvolvedores são aconselhados a usar IDEs de IA apenas com projetos confiáveis, configurar a verificação humana quando houver suporte e examinar cuidadosamente os servidores MCP.

Os mantenedores de produtos devem implementar ferramentas com escopo de capacidade, monitorar continuamente os recursos do IDE em busca de vetores de ataque, presumir que a injeção imediata é sempre possível e implantar sandboxing e controles de saída.

As descobertas sublinham um desafio crítico à medida que as capacidades de IA se expandem através das ferramentas de desenvolvimento de software: as funcionalidades legadas concebidas para utilizadores humanos podem tornar-se perigosas quando acessíveis a agentes autónomos de IA que operam sob influência adversária.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.