Se han revelado más de 30 vulnerabilidades de seguridad en varios entornos de desarrollo integrados (IDE) impulsados por inteligencia artificial (IA) que combinan primitivas de inyección rápida con características legítimas para lograr la exfiltración de datos y la ejecución remota de código.
Las deficiencias de seguridad han sido nombradas colectivamente IDEsaster por el investigador de seguridad Ari Marzouk (MaccariTA). Afectan a IDE y extensiones populares como Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie y Cline, entre otras. De ellos, a 24 se les han asignado identificadores CVE.
«Creo que el hecho de que múltiples cadenas de ataques universales afectaran a todos y cada uno de los IDE de IA probados es el hallazgo más sorprendente de esta investigación», dijo Marzouk a The Hacker News.
«Todos los IDE de IA (y los asistentes de codificación que se integran con ellos) ignoran efectivamente el software base (IDE) en su modelo de amenaza. Tratan sus funciones como inherentemente seguras porque han estado allí durante años. Sin embargo, una vez que se agregan agentes de IA que pueden actuar de forma autónoma, las mismas funciones pueden convertirse en armas para la exfiltración de datos y las primitivas RCE».
En esencia, estos problemas encadenan tres vectores diferentes que son comunes a los IDE impulsados por IA:
- Evite las barreras de seguridad de un modelo de lenguaje grande (LLM) para secuestrar el contexto y realizar las órdenes del atacante (también conocido como inyección rápida)
- Realice ciertas acciones sin requerir ninguna interacción del usuario a través de llamadas de herramientas aprobadas automáticamente por un agente de IA.
- Activar las características legítimas de un IDE que permiten a un atacante romper el límite de seguridad para filtrar datos confidenciales o ejecutar comandos arbitrarios.
Los problemas destacados son diferentes de las cadenas de ataques anteriores que aprovecharon las inyecciones rápidas junto con herramientas vulnerables (o abusaron de herramientas legítimas para realizar acciones de lectura o escritura) para modificar la configuración de un agente de IA para lograr la ejecución de código u otro comportamiento no deseado.
Lo que hace que IDEsaster sea notable es que requiere primitivas de inyección rápida y las herramientas de un agente, usándolas para activar funciones legítimas del IDE para provocar una fuga de información o la ejecución de comandos.
El secuestro de contexto se puede lograr de innumerables maneras, incluso a través de referencias de contexto agregadas por el usuario que pueden tomar la forma de URL pegadas o texto con caracteres ocultos que no son visibles para el ojo humano, pero que el LLM puede analizar. Alternativamente, el contexto puede contaminarse mediante el uso de un servidor Model Context Protocol (MCP) mediante envenenamiento de herramientas o extracción de alfombras, o cuando un servidor MCP legítimo analiza la entrada controlada por el atacante desde una fuente externa.
Algunos de los ataques identificados posibles gracias a la nueva cadena de exploits son los siguientes:
- CVE-2025-49150 (cursor), CVE-2025-53097 (código Roo), CVE-2025-58335 (JetBrains Junie), GitHub Copilot (sin CVE), Kiro.dev (sin CVE) y Claude Code (abordado con una advertencia de seguridad) – Usar una inyección rápida para leer un archivo confidencial utilizando una herramienta legítima («read_file») o vulnerable («search_files» o «search_project») y escribir un archivo JSON a través de una herramienta legítima («write_file» o «edit_file)) con un esquema JSON remoto alojado en un dominio controlado por un atacante, lo que provoca que los datos se filtren cuando el IDE realiza una solicitud GET
- CVE-2025-53773 (GitHub Copilot), CVE-2025-54130 (Cursor), CVE-2025-53536 (Código Roo), CVE-2025-55012 (Zed.dev) y Claude Code (abordado con una advertencia de seguridad) – Uso de una inyección rápida para editar archivos de configuración IDE («.vscode/settings.json» o «.idea/workspace.xml») para lograr la ejecución del código configurando «php.validate.executablePath» o «PATH_TO_GIT» en la ruta de un archivo ejecutable que contiene código malicioso
- CVE-2025-64660 (copilot de GitHub), CVE-2025-61590 (cursor) y CVE-2025-58372 (código Roo) – Uso de una inyección rápida para editar archivos de configuración del espacio de trabajo (*.code-workspace) y anular la configuración del espacio de trabajo de múltiples raíces para lograr la ejecución del código.
Vale la pena señalar que los dos últimos ejemplos dependen de que un agente de IA esté configurado para aprobar automáticamente la escritura de archivos, lo que posteriormente permite que un atacante con la capacidad de influir en las indicaciones para provocar que se escriban configuraciones maliciosas en el espacio de trabajo. Pero dado que este comportamiento se aprueba automáticamente de forma predeterminada para los archivos del espacio de trabajo, conduce a la ejecución de código arbitrario sin ninguna interacción del usuario ni la necesidad de volver a abrir el espacio de trabajo.
Con inyecciones rápidas y jailbreaks como primer paso para la cadena de ataques, Marzouk ofrece las siguientes recomendaciones:
- Utilice únicamente IDE de IA (y agentes de IA) con proyectos y archivos confiables. Los archivos de reglas maliciosos, las instrucciones ocultas dentro del código fuente u otros archivos (README) e incluso los nombres de los archivos pueden convertirse en vectores de inyección rápida.
- Conéctese únicamente a servidores MCP confiables y supervise continuamente estos servidores para detectar cambios (incluso un servidor confiable puede verse afectado). Revisar y comprender el flujo de datos de las herramientas MCP (por ejemplo, una herramienta MCP legítima podría extraer información de una fuente controlada por el atacante, como un PR de GitHub).
- Revise manualmente las fuentes que agregue (como a través de URL) en busca de instrucciones ocultas (comentarios en HTML/texto oculto css/caracteres Unicode invisibles, etc.)
Se recomienda a los desarrolladores de agentes de IA e IDE de IA que apliquen el principio de privilegio mínimo a las herramientas LLM, minimicen los vectores de inyección de mensajes, refuercen el mensaje del sistema, utilicen sandboxing para ejecutar comandos, realicen pruebas de seguridad para recorrido de ruta, fuga de información e inyección de comandos.
La divulgación coincide con el descubrimiento de varias vulnerabilidades en las herramientas de codificación de IA que podrían tener una amplia gama de impactos:
- Una falla de inyección de comandos en OpenAI Codex CLI (CVE-2025-61260) que aprovecha el hecho de que el programa confía implícitamente en los comandos configurados a través de las entradas del servidor MCP y los ejecuta al inicio sin buscar el permiso del usuario. Esto podría provocar la ejecución de comandos arbitrarios cuando un actor malintencionado pueda alterar los archivos «.env» y «./.codex/config.toml» del repositorio.
- Una inyección inmediata indirecta en Google Antigravity utilizando una fuente web envenenada que puede usarse para manipular a Gemini para que recopile credenciales y código confidencial del IDE de un usuario y extraiga la información utilizando un subagente del navegador para navegar a un sitio malicioso.
- Múltiples vulnerabilidades en Google Antigravity que podrían resultar en filtración de datos y ejecución remota de comandos a través de inyecciones indirectas, así como aprovechar un espacio de trabajo malicioso confiable para incorporar una puerta trasera persistente para ejecutar código arbitrario cada vez que se inicie la aplicación en el futuro.
- Una nueva clase de vulnerabilidad llamada PromptPwnd que apunta a agentes de IA conectados a GitHub Actions (o canalizaciones de GitLab CI/CD) vulnerables con inyecciones rápidas para engañarlos para que ejecuten herramientas privilegiadas integradas que conducen a la fuga de información o la ejecución de código.
A medida que las herramientas de IA agentes se vuelven cada vez más populares en entornos empresariales, estos hallazgos demuestran cómo las herramientas de IA amplían la superficie de ataque de las máquinas de desarrollo, a menudo aprovechando la incapacidad de un LLM para distinguir entre las instrucciones proporcionadas por un usuario para completar una tarea y el contenido que puede ingerir de una fuente externa, que, a su vez, puede contener un mensaje malicioso incorporado.
«Cualquier repositorio que utilice IA para la clasificación de problemas, el etiquetado de relaciones públicas, las sugerencias de código o las respuestas automáticas corre el riesgo de sufrir una inyección rápida, una inyección de comandos, una exfiltración secreta, un compromiso del repositorio y un compromiso de la cadena de suministro», dijo el investigador de Aikido Rein Daelman.
Marzouk también dijo que los descubrimientos enfatizaron la importancia de «Secure for AI», que es un nuevo paradigma que ha sido acuñado por el investigador para abordar los desafíos de seguridad introducidos por las características de AI, garantizando así que los productos no solo sean seguros por defecto y seguros por diseño, sino que también se conciban teniendo en cuenta cómo se puede abusar de los componentes de AI con el tiempo.
«Este es otro ejemplo de por qué es necesario el principio ‘Seguro para la IA'», afirmó Marzouk. «Conectar agentes de IA a aplicaciones existentes (en mi caso IDE, en su caso GitHub Actions) crea nuevos riesgos emergentes».
