Se han descubierto más de 30 vulnerabilidades de seguridad en varios entornos de desarrollo integrado (IDE) impulsados por inteligencia artificial (IA) que combinan primitivas de inyección rápida con funciones legítimas para lograr la exfiltración de datos y la ejecución remota de código.
Las deficiencias de seguridad se han denominado colectivamente Ide Saster del investigador de seguridad Ari Marzouk (MacCarita). Afectan a los IDE y extensiones más populares, como Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie y Cline, entre otros. De estas, a 24 se les han asignado identificadores CVE.
«Creo que el hecho de que múltiples cadenas de ataque universales afectaran a todos y cada uno de los IDE de IA probados es el hallazgo más sorprendente de esta investigación», dijo Marzouk a The Hacker News.
«Todos los IDE de IA (y los asistentes de codificación que se integran con ellos) ignoran de manera efectiva el software base (IDE) en su modelo de amenazas. Consideran que sus funciones son intrínsecamente seguras porque llevan años ahí. Sin embargo, una vez que añadas agentes de IA que puedan actuar de forma autónoma, las mismas funciones pueden convertirse en armas para la exfiltración de datos y las primitivas de RCE».
En esencia, estos problemas encadenan tres vectores diferentes que son comunes a los IDE impulsados por la IA:
- Evite las barreras de un modelo lingüístico grande (LLM) para secuestrar el contexto y cumplir las órdenes del atacante (también conocidas como inyección rápida)
- Realice determinadas acciones sin requerir la interacción del usuario mediante las llamadas a herramientas aprobadas automáticamente por un agente de IA
- Activa las funciones legítimas de un IDE que permiten a un atacante romper los límites de seguridad para filtrar datos confidenciales o ejecutar comandos arbitrarios
Los problemas destacados son diferentes a los de las cadenas de ataque anteriores, que aprovechaban las inyecciones rápidas junto con herramientas vulnerables (o abusaban de herramientas legítimas para realizar acciones de lectura o escritura) para modificar la configuración de un agente de IA y lograr la ejecución de código u otro comportamiento no deseado.
Lo que hace que IDesaster sea notable es que utiliza primitivas de inyección inmediata y las herramientas de un agente y las utiliza para activar funciones legítimas del IDE y provocar la filtración de información o la ejecución de comandos.
El secuestro de contexto se puede llevar a cabo de innumerables maneras, incluso mediante referencias de contexto agregadas por el usuario que pueden adoptar la forma de URL pegadas o texto con caracteres ocultos que no son visibles para el ojo humano, pero que el LLM puede analizar. Como alternativa, el contexto puede contaminarse mediante el uso de un servidor de protocolo de contexto modelo (MCP) a través de intoxicación por herramientas o tiradores de alfombras , o cuando un servidor MCP legítimo analiza la entrada controlada por el atacante desde una fuente externa.
Algunos de los ataques identificados que han sido posibles gracias a la nueva cadena de exploits son los siguientes:
- CVE-2025-49150 (Cursor), CVE-2025-53097 (Código de habitación), CVE-2025-58335 (JetBrains Junie), GitHub Copilot (sin CVE), Kiro.dev (sin CVE) y Claude Code (abordado con un aviso de seguridad ) - Usar una inyección de mensajes para leer un archivo confidencial con una herramienta legítima («read_file») o vulnerable («search_files» o «search_project») y escribir un archivo JSON mediante una herramienta legítima («write_file» o «edit_file») con un esquema JSON remoto alojado en un dominio controlado por un atacante, lo que provoca que los datos se filtren cuando el IDE realiza una solicitud GET
- CVE-2025-53773 (Copiloto de GitHub), CVE-2025-54130 (Cursor), CVE-2025-53536 (Código de habitación), CVE-2025-55012 (Zed.dev) y Claude Code (abordado con un aviso de seguridad ) - Usar una inyección de mensajes para editar los archivos de configuración del IDE («.vscode/settings.json» o «.idea/workspace.xml») para lograr la ejecución del código configurando «php.validate.ExecutablePath» o «PATH_TO_GIT» en la ruta de un archivo ejecutable que contiene código malintencionado
- CVE-2025-64660 (Copiloto de GitHub), CVE-2025-61590 (Cursor) y CVE-2025-58372 (Código de habitación) - Uso de una inyección de mensajes para editar los archivos de configuración del espacio de trabajo (*.code-workspace) y anular espacio de trabajo con múltiples raíces ajustes para lograr la ejecución del código
Vale la pena señalar que los dos últimos ejemplos se basan en la configuración de un agente de IA para aprobar automáticamente la escritura de archivos, lo que posteriormente permite a un atacante influir en las solicitudes para provocar la escritura de configuraciones maliciosas en el espacio de trabajo. Sin embargo, dado que este comportamiento se aprueba automáticamente de forma predeterminada para los archivos del espacio de trabajo, conduce a la ejecución arbitraria de código sin la interacción del usuario ni la necesidad de volver a abrir el espacio de trabajo.
Dado que las inyecciones rápidas y las fugas de la cárcel son el primer paso de la cadena de ataque, Marzouk ofrece las siguientes recomendaciones:
- Utilice únicamente los IDE de IA (y los agentes de IA) con proyectos y archivos de confianza. Los archivos de reglas malintencionados, las instrucciones ocultas en el código fuente o en otros archivos (README) e incluso los nombres de los archivos pueden convertirse en vectores de inyección inmediata.
- Conéctese únicamente a servidores MCP confiables y supervise continuamente estos servidores para detectar cambios (incluso un servidor confiable puede ser violado). Revisa y comprende el flujo de datos de las herramientas MCP (p. ej., una herramienta MCP legítima podría extraer información de una fuente controlada por un atacante, como un GitHub PR)
- Revisa manualmente las fuentes que añadas (por ejemplo, a través de URL) para ver si hay instrucciones ocultas (comentarios en HTML, CSS, texto oculto, caracteres Unicode invisibles, etc.)
Se recomienda a los desarrolladores de agentes de IA e IDE de IA que apliquen el principio de mínimo privilegio a las herramientas de LLM, minimicen los vectores de inyección rápida, refuercen la línea de comandos del sistema, utilicen el espacio aislado para ejecutar comandos y realicen pruebas de seguridad para detectar el cruce de rutas, la filtración de información y la inyección de comandos.
La divulgación coincide con el descubrimiento de varias vulnerabilidades en las herramientas de codificación de IA que podrían tener una amplia gama de impactos -
- Un error de inyección de comandos en la CLI de OpenAI Codex ( CVE-2025-61260 ) que aprovecha el hecho de que el programa confía implícitamente en los comandos configurados mediante entradas del servidor MCP y los ejecuta al inicio sin solicitar el permiso del usuario. Esto puede provocar la ejecución arbitraria de comandos cuando un actor malintencionado puede manipular los archivos «.env» y «./.codex/config.toml» del repositorio.
- Un inyección inmediata indirecta en Google Antigravity, utilizando una fuente web envenenada que puede usarse para manipular a Gemini para que recopile credenciales y código confidencial del IDE de un usuario y extraiga la información mediante un subagente del navegador para navegar a un sitio malintencionado.
- Múltiples vulnerabilidades en Google Antigravity que podrían resultar en exfiltración de datos y ejecución remota de comandos mediante inyecciones rápidas indirectas, así como aprovechar un espacio de trabajo malicioso de confianza para incrustar una puerta trasera persistente para ejecutar código arbitrario cada vez que se lance la aplicación en el futuro.
- Una nueva clase de vulnerabilidad denominada PrompWND que apunta a los agentes de IA conectados a GitHub Actions vulnerables (o canalizaciones de CI/CD de GitLab) con inyecciones rápidas para engañarlos y hacer que ejecuten herramientas privilegiadas integradas que provocan la filtración de información o la ejecución de código.
A medida que las herramientas de IA para agencias son cada vez más populares en los entornos empresariales, estos hallazgos demuestran cómo las herramientas de IA amplían la superficie de ataque de las máquinas de desarrollo, a menudo aprovechando la incapacidad de un LLM para distinguir entre las instrucciones proporcionadas por un usuario para completar una tarea y el contenido que puede ingerir de una fuente externa, que, a su vez, puede contener un mensaje malicioso incorporado.
«Cualquier repositorio que utilice la IA para la clasificación de problemas, el etiquetado de relaciones públicas, las sugerencias de código o las respuestas automatizadas corre el riesgo de ser inyectado rápidamente, inyectar comandos, exfiltrar secretos, comprometer el repositorio y comprometer la cadena de suministro anterior», afirma el investigador de Aikido Rein Daelman.
Marzouk también dijo que los descubrimientos enfatizaban la importancia de la «seguridad para la IA», que es un nuevo paradigma acuñado por el investigador para abordar los desafíos de seguridad que presentan las funciones de la IA, garantizando así que los productos no solo sean seguros por defecto y seguros por diseño, sino que también se conciban teniendo en cuenta cómo se puede abusar de los componentes de la IA con el tiempo.
«Este es otro ejemplo de por qué es necesario el principio de 'seguridad para la AI'», dijo Marzouk. «La conexión de los agentes de IA con las aplicaciones existentes (en mi caso, el IDE, en su caso, GitHub Actions) crea nuevos riesgos emergentes».