Más de 30 vulnerabilidades de seguridad han sido detectadas en diversos entornos de desarrollo integrados (IDE) basados en inteligencia artificial (IA), que combinan tácticas de inyección rápida con funciones legítimas para facilitar la exfiltración de datos y la ejecución remota de código.

El investigador de seguridad Ari Marzouk (MaccariTA) se refiere a estas vulnerabilidades como IDEsaster. Estas afectan a populares IDE y extensiones, incluyendo Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie y Cline, de las cuales 24 ya tienen identificadores CVE.

«El hecho de que múltiples cadenas de ataque universales hayan afectado a todos los IDE de IA analizados es el hallazgo más sorprendente de esta investigación», comentó Marzouk.

Todos los IDE de IA (y los asistentes de programación asociados) parecen ignorar el software base (IDE) en su modelo de amenazas, considerándolo seguro debido a su antigüedad. Sin embargo, la inclusión de agentes de IA autónomos transforma estas funciones en herramientas potenciales para la exfiltración de datos y la ejecución remota de código (RCE). En esencia, estos problemas vinculan tres vectores comunes entre los IDE basados en IA:

  • Evasión de las barreras de un modelo de lenguaje grande (LLM) para secuestrar el contexto y ejecutar órdenes del atacante (inyección de prompt);
  • Ejecución de acciones sin interacción del usuario a través de herramientas autorizadas por un agente de IA;
  • Activación de funciones legítimas de un IDE que permiten a los atacantes comprometer la seguridad y filtrar datos sensibles o ejecutar comandos arbitrarios.

Los problemas identificados son diferentes de cadenas de ataque anteriores que han utilizado inyecciones de prompt junto con herramientas vulnerables, modificando la configuración de los agentes de IA para realizar acciones no deseadas.

Lo que distingue a IDEsaster es que emplea inyecciones de prompt y las herramientas de un agente para activar funciones legítimas de los IDE y facilitar la fuga de información o la ejecución de comandos.

El secuestro de contexto puede ocurrir de varias formas, incluyendo referencias añadidas por el usuario que mediante URL o texto oculto que, aunque invisibles, el LLM puede interpretar. Alternativamente, el contexto puede contaminarse a través de un servidor de Protocolo de Contexto de Modelo (MCP) debido a envenenamientos de herramientas u otras manipulación controladas por un atacante.

Marzouk ofrece las siguientes recomendaciones dado que las inyecciones de prompt son el primer paso en la cadena de ataque:

  • Use IDEs de IA (y agentes de IA) solo con proyectos y archivos confiables. Archivos maliciosos o instrucciones ocultas pueden convertirse en vectores de inyección.
  • Conéctese únicamente a servidores MCP de confianza y monitórelo continuamente para detectar cambios. Revise cómo fluye la información a través de esas herramientas.
  • Revise manualmente las fuentes añadidas, como URL, para identificar instrucciones ocultas.
  • A los desarrolladores de agentes y IDEs de IA se les aconseja aplicar el principio de menor privilegio, minimizar vectores de inyección y realizar pruebas de seguridad exhaustivas.

A medida que las herramientas de IA se vuelven más comunes en el ámbito empresarial, estos hallazgos ponen de manifiesto cómo aumentan la superficie de ataque. Esto se debe, en parte, a la incapacidad del LLM para diferenciar entre instrucciones legítimas y contenido potencialmente malicioso.

«Cualquier repositorio que use IA para clasificar problemas, etiquetar o sugerir código está en riesgo de sufrir inyección y vulneración», advirtió el investigador Rein Daelman de Aikido.

Marzouk concluyó que estos descubrimientos resaltan la necesidad de un enfoque de «Seguridad para IA», que asegure que los productos sean seguros y estén diseñados para resistir el abuso a lo largo del tiempo.

«Esto demuestra por qué el principio ‘Seguridad para IA’ es fundamental.»

Fuente: THN


Con Información de blog.segu-info.com.ar