關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.12.08
事件與威脅/人工智慧
研究人員發現人工智慧編碼工具中存在30多個可能導致資料竊取和RCE攻擊缺陷

安全研究界近期披露了一系列針對人工智慧(AI)驅動之整合開發環境(IDE)的嚴重安全漏洞,將其統稱為「IDEsaster」。這些問題的核心在於,攻擊者能夠繞過大型語言模型(LLM)的內建防護,並利用IDE本身的合法功能(例如讀取、寫入或配置專案文件),在無需使用者互動的情況下,執行遠端程式碼或竊取敏感資料。此次披露的漏洞數量超過30個,影響了包括GitHub Copilot、Cursor等在內的多個主流產品和擴充程式,其中24個已被賦予CVE編號。這次事件敲響警鐘,明確指出將AI代理與複雜應用程式(如IDE)整合時,會產生新的、嚴峻的網路安全風險,急需業界遵循「人工智慧安全」原則。
 

「IDEsaster」漏洞群的披露與核心機制

「IDEsaster」代表了人工智慧驅動工具鏈中的一個重大安全轉捩點。

超過 30 個安全漏洞已在各種人工智慧 (AI) 驅動的整合開發環境 (IDE) 中披露,這些 IDE 將提示注入原語與合法功能相結合,以實現資料外洩和遠端程式碼執行。安全研究員 Ari Marzouk(MaccariTA)將這些安全漏洞統稱為「IDEsaster」。這些漏洞影響到包括 Cursor、Windsurf、Kiro.dev、GitHub Copilot、Zed.dev、Roo Code、Junie 和 Cline 在內的眾多主流 IDE 和擴充程式。其中,已有 24 個漏洞被分配了 CVE 編號。

這些漏洞的利用鏈之所以危險,在於它們突破了以往單純的「提示注入」範疇,轉而透過自動化流程,利用IDE內建的工具與權限來達成攻擊目的。其本質上涉及三個相互關聯的攻擊維度:

從本質上講,這些問題涉及人工智慧驅動的整合開發環境(IDE)中常見的三個不同方面:

  1. 繞過大型語言模型 (LLM) 的防護機制來劫持上下文並執行攻擊者的指令(即提示注入)。
  2. 透過人工智慧代理自動批准的工具調用,在無需任何使用者互動的情況下執行某些操作。
  3. 觸發 IDE 的合法功能,使攻擊者能夠突破安全邊界,洩漏敏感資料或執行任意命令。

突出的問題與以往的攻擊鏈不同,以往的攻擊鏈利用提示注入結合易受攻擊的工具(或濫用合法工具執行讀取或寫入操作)來修改 AI 代理的配置,從而實現代碼執行或其他非預期行為。

新的攻擊鏈特別危險,因為它證明了僅僅保護LLM模型本身(如防止提示注入)是不夠的;當LLM被授予對外部工具和系統的存取權限時,即使是模型合法的功能調用,也可能成為實施惡意行為的媒介。
 

惡意利用鏈與攻擊實例分析

研究員成功識別了利用新漏洞利用鏈實現的多種攻擊類型,主要包括敏感資料外洩和程式碼執行(RCE)。

利用新漏洞利用鏈所實現的部分已識別攻擊如下:

  1. CVE-2025-49150(Cursor)、CVE-2025-53097(Roo Code)、CVE-2025-58335(JetBrains Junie)、GitHub Copilot(無 CVE 編號)、Kiro.dev(無 CVE 編號)和 Claude Code(已發布安全警告)——利用提示注入,透過合法工具(“read_file”)或易受攻擊的工具(“search_files”或“search_project”)讀取敏感文件,然後透過合法工具(“write_file”或“edit_file”)寫入 JSON 文件,該文件使用託管在攻擊者控制域上的遠端 JSON 模式,導致 IDE 在發出 GET 請求時洩露。

這種攻擊鏈的核心是誘導AI代理讀取(竊取)敏感資料,然後將這些資料寫入一個利用遠端JSON模式的檔案中。當IDE嘗試處理或驗證這個JSON檔案時,會自動向攻擊者的伺服器發送GET請求,藉此洩漏敏感資料。

  1. CVE-2025-53773(GitHub Copilot)、CVE-2025-54130(Cursor)、CVE-2025-53536(Roo Code)、CVE-2025-55012 (Zed.dev)和 Claude Code (已發布安全性警告設定檔案(例如「vscode/settings.json」或「.idea/workspace.xml」),透過將「php.validate.executablePath」或「PATH_TO_GIT」設定為包含惡意程式碼的可執行檔案的路徑來實作程式碼執行。
  2. CVE-2025-64660(GitHub Copilot)、CVE-2025-61590(Cursor)和CVE-2025-58372(Roo Code) ——利用提示字元注入編輯工作區設定檔(*.code-workspace),並覆寫多根工作區設定以實現程式碼執行程式碼。

值得注意的是,最後兩個例子都依賴一個配置為自動批准文件寫入的AI代理,這使得能夠影響提示訊息的攻擊者可以寫入惡意的工作區設定。但由於工作區內的檔案預設是自動批准寫入的,因此無需任何使用者互動或重新開啟工作區,即可執行任意程式碼。

利用工作區(Workspace)設定檔進行攻擊是高度有效的RCE方法。攻擊者誘騙AI代理修改包含執行路徑的設定檔(例如Git或PHP驗證的路徑),將其指向包含惡意程式碼的可執行檔案。一旦IDE載入或執行相關驗證,惡意程式碼就會在使用者系統上執行,而自動批准寫入的設定更是消除了所有防禦環節。
 

廣泛影響與其他AI編碼工具的漏洞

此次披露的漏洞影響範圍不僅限於IDE,也波及了其他AI編碼相關工具與大型語言模型應用程式,再次凸顯了AI與應用程式整合的安全挑戰:

此次披露恰逢人工智慧編碼工具中多個漏洞被發現,這些漏洞可能產生廣泛的影響:

  1. OpenAI Codex CLI 中存在一個命令注入漏洞( CVE-2025-61260 ),該漏洞利用了程式預設信任透過 MCP 伺服器條目配置的命令這一特性,並在啟動時未經用戶許可就執行這些命令。惡意攻擊者如果能夠篡改程式碼庫的“.env”和“./.codex/config.toml”文件,則可能導致任意命令的執行。
  2. 利用受污染的網頁資源,透過間接提示注入攻擊Google Antigravity,可以操縱 Gemini 從使用者的 IDE 中竊取憑證和敏感程式碼,並使用瀏覽器子代理程式瀏覽到惡意網站,從而洩露這些資訊。
  3. Google Antigravity 存在多個漏洞,可能導致資料外洩和透過間接提示注入執行遠端命令,還可以利用惡意可信任工作區嵌入持久後門,以便在將來每次啟動應用程式時執行任意程式碼。
  4. 一種名為PromptPwnd的新型漏洞,利用提示注入攻擊連接到易受攻擊的 GitHub Actions(或 GitLab CI/CD 管道)的 AI 代理,誘騙它們執行內建的特權工具,從而導致資訊外洩或程式碼執行。

這些案例證明,無論是AI代理與IDE、CLI、或是CI/CD管道整合,只要AI被賦予執行系統命令或讀寫關鍵文件的能力,都可能成為一個新的、高風險的攻擊入口。PromptPwnd的案例尤其值得關注,它將提示注入的風險從開發者工作站延伸到了自動化運行的CI/CD流程中。
 

業界防禦建議與「人工智慧安全」原則

面對「IDEsaster」所揭露的威脅,AI IDE和AI代理的開發者必須從根本上重新思考其安全架構,遵循嚴格的「人工智慧安全」(AI Safety)原則。

這再次說明了為什麼需要『人工智慧安全』原則(註),將人工智慧代理連接到現有應用程式(就我而言是IDE,就他們而言是GitHub Actions)會產生新的潛在風險。

以下為針對開發者和營運者的具體防禦建議:

建議 AI 代理和 AI IDE 的開發者對 LLM 工具應用最小權限原則,最大限度地減少提示注入向量,強化系統提示,使用沙箱運行命令,執行路徑遍歷、資訊外洩和命令注入的安全測試

  1. 實施最小權限原則(Principle of Least Privilege, POLP): 這是最關鍵的防禦措施。AI代理或LLM工具被授予的系統權限應該嚴格限定在完成其任務所需的最小集合。例如,若一個AI代理只需讀取代碼,則不應賦予其寫入系統配置文件的權限,尤其是不應自動批准寫入。

  2. 沙箱化命令執行: 凡是涉及執行系統命令或操作文件的工具調用,都應該在嚴格隔離的沙箱環境中進行。這能確保即使攻擊者成功注入並執行了程式碼,其影響範圍也無法擴散到宿主系統或敏感文件之外。

  3. 強化系統提示與輸入驗證: 開發者應對LLM的系統提示進行強化,使其對潛在的提示注入攻擊具有更強的抵抗力。同時,所有來自LLM的工具調用引數都必須經過嚴格的輸入驗證,以防止路徑遍歷、命令注入等傳統漏洞。

  4. 專注於安全測試: 針對AI代理進行專業的滲透測試,特別是測試其對於路徑遍歷、資訊外洩和命令注入等攻擊向量的防禦能力。測試情境必須模擬間接提示注入,即利用非直接的使用者輸入來觸發AI的惡意行為。

總結來說,「IDEsaster」清楚地說明,AI整合不僅是功能升級,更是一場安全性典範轉移。未來的AI應用程式必須將工具的安全性與模型的穩健性視為同等重要的設計要素。


註:

人工智慧安全原則」通常指的是在設計、開發與部署 AI 系統時,確保其 安全性、可靠性與倫理性 的一系列核心理念。以下是國際上普遍認可的主要原則:

a)    安全性 (Safety)

  •  AI 系統必須在預期範圍內運作,避免造成物理、財務或社會傷害。
  • 包含 風險評估、故障容忍、失效安全機制。

b)    可解釋性與透明性 (Explainability & Transparency)

  •  AI 的決策過程應可理解,避免「黑箱」。
  • 提供 模型可解釋性、決策理由、審計追蹤。

c)    隱私與資料保護 (Privacy & Data Security)

  • 確保個人資料不被濫用,符合 GDPR 等法規。
  • 採用 差分隱私、加密、存取控制。

d)    公平性與非歧視 (Fairness & Non-bias)

  • 避免偏見與歧視,確保演算法公平。
  • 進行 偏差檢測與修正。

e)    韌性與抗攻擊能力 (Robustness & Security)

  • 防範 對抗性攻擊 (Adversarial Attacks)、模型竊取、資料投毒。
  • 採用 安全設計、異常檢測、模型防護。

f)     責任與問責 (Accountability)

  • 明確界定責任歸屬,確保可追溯性。
  • 建立 審計機制與法律框架。

g)    人類監督 (Human Oversight)

  • AI 不應完全取代人類決策,需保留人工干預機制。
  • Human-in-the-loop 或 Human-on-the-loop。

資料來源:https://thehackernews.com/2025/12/researchers-uncover-30-flaws-in-ai.html
 
資安研究員揭露AI驅動整合開發環境(IDE)中超過30個安全漏洞,統稱為「IDEsaster」。本報告深入分析這些漏洞如何利用提示注入結合IDE合法功能,實現無須使用者互動的資料外洩與遠端程式碼執行(RCE)。涵蓋GitHub Copilot、Cursor等主流工具的具體攻擊鏈、風險點以及開發者應採取的最小權限原則與沙箱化防禦建議。