Onderzoekers ontdekken meer dan 30 tekortkomingen in AI-coderingstools die gegevensdiefstal en RCE-aanvallen mogelijk maken

Cyberbeveiliging
Onderzoekers ontdekken meer dan 30 tekortkomingen in AI-coderingstools die gegevensdiefstal en RCE-aanvallen mogelijk maken

Er zijn meer dan 30 beveiligingskwetsbaarheden onthuld in verschillende door kunstmatige intelligentie (AI) aangedreven Integrated Development Environments (IDE’s) die primitieven voor snelle injectie combineren met legitieme functies om data-exfiltratie en uitvoering van code op afstand te bereiken.

De veiligheidstekortkomingen zijn gezamenlijk genoemd IDEsaster door veiligheidsonderzoeker Ari Marzouk (MaccariTA). Ze zijn van invloed op populaire IDE’s en extensies zoals Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie en Cline. Hiervan zijn er 24 voorzien van CVE-identificatoren.

“Ik denk dat het feit dat meerdere universele aanvalsketens elke geteste AI IDE beïnvloedden de meest verrassende bevinding van dit onderzoek is”, vertelde Marzouk aan The Hacker News.

“Alle AI IDE’s (en codeerassistenten die daarmee integreren) negeren effectief de basissoftware (IDE) in hun bedreigingsmodel. Ze beschouwen hun functies als inherent veilig omdat ze er al jaren zijn. Zodra je echter AI-agents toevoegt die autonoom kunnen handelen, kunnen dezelfde functies worden ingezet voor data-exfiltratie en RCE-primitieven.”

In de kern zijn deze problemen een keten van drie verschillende vectoren die gemeenschappelijk zijn voor AI-gestuurde IDE’s:

  • Omzeil de vangrails van een groot taalmodel (LLM) om de context te kapen en de biedingen van de aanvaller uit te voeren (ook wel prompt injection genoemd)
  • Voer bepaalde acties uit zonder enige gebruikersinteractie via de automatisch goedgekeurde tooloproepen van een AI-agent
  • Activeer de legitieme functies van een IDE waarmee een aanvaller de beveiligingsgrens kan overschrijden om gevoelige gegevens te lekken of willekeurige opdrachten uit te voeren

De benadrukte problemen verschillen van eerdere aanvalsketens waarbij gebruik werd gemaakt van snelle injecties in combinatie met kwetsbare tools (of misbruik van legitieme tools om lees- of schrijfacties uit te voeren) om de configuratie van een AI-agent te wijzigen om code-uitvoering of ander onbedoeld gedrag te bewerkstelligen.

Wat IDEsaster opmerkelijk maakt, is dat er snelle injectieprimitieven en de tools van een agent voor nodig zijn, die deze gebruiken om legitieme functies van de IDE te activeren, wat resulteert in het lekken van informatie of het uitvoeren van opdrachten.

Contextkaping kan op talloze manieren worden uitgevoerd, onder meer door door de gebruiker toegevoegde contextreferenties die de vorm kunnen aannemen van geplakte URL’s of tekst met verborgen tekens die niet zichtbaar zijn voor het menselijk oog, maar wel kunnen worden geparseerd door de LLM. Als alternatief kan de context worden vervuild door gebruik te maken van een Model Context Protocol (MCP)-server via toolvergiftiging of rug pulls, of wanneer een legitieme MCP-server door de aanvaller gecontroleerde invoer van een externe bron parseert.

Enkele van de geïdentificeerde aanvallen die mogelijk zijn gemaakt door de nieuwe exploitketen zijn de volgende:

  • CVE-2025-49150 (Cursor), CVE-2025-53097 (Roo Code), CVE-2025-58335 (JetBrains Junie), GitHub Copilot (geen CVE), Kiro.dev (geen CVE) en Claude Code (geadresseerd met een beveiligingswaarschuwing) – Het gebruik van een snelle injectie om een ​​gevoelig bestand te lezen met behulp van een legitiem (“read_file”) of kwetsbaar hulpmiddel (“search_files” of “search_project”) en het schrijven van een JSON-bestand via een legitiem hulpmiddel (“write_file” of “edit_file)) met een extern JSON-schema gehost op een door de aanvaller gecontroleerd domein, waardoor de gegevens lekken wanneer de IDE een GET-verzoek doet
  • CVE-2025-53773 (GitHub Copilot), CVE-2025-54130 (Cursor), CVE-2025-53536 (Roo Code), CVE-2025-55012 (Zed.dev) en Claude Code (geadresseerd met een beveiligingswaarschuwing) – Een promptinjectie gebruiken om IDE-instellingenbestanden (“.vscode/settings.json” of “.idea/workspace.xml”) te bewerken om code-uitvoering te bewerkstelligen door “php.validate.executablePath” of “PATH_TO_GIT” in te stellen op het pad van een uitvoerbaar bestand dat kwaadaardige code bevat
  • CVE-2025-64660 (GitHub Copilot), CVE-2025-61590 (Cursor) en CVE-2025-58372 (Roo-code) – Gebruik van een promptinjectie om werkruimteconfiguratiebestanden (*.code-workspace) te bewerken en multi-root werkruimte-instellingen te overschrijven om code-uitvoering te bewerkstelligen

Het is vermeldenswaard dat de laatste twee voorbeelden betrekking hebben op een AI-agent die is geconfigureerd om het schrijven van bestanden automatisch goed te keuren, waardoor een aanvaller vervolgens de mogelijkheid heeft om aanwijzingen te beïnvloeden om ervoor te zorgen dat kwaadaardige werkruimte-instellingen worden geschreven. Maar aangezien dit gedrag standaard automatisch wordt goedgekeurd voor bestanden in de werkruimte, leidt het tot uitvoering van willekeurige code zonder enige gebruikersinteractie of de noodzaak om de werkruimte opnieuw te openen.

Met snelle injecties en jailbreaks die als eerste stap voor de aanvalsketen fungeren, doet Marzouk de volgende aanbevelingen:

  • Gebruik alleen AI-IDE’s (en AI-agents) met vertrouwde projecten en bestanden. Schadelijke regelbestanden, verborgen instructies in de broncode of andere bestanden (README) en zelfs bestandsnamen kunnen prompt-injectievectoren worden.
  • Maak alleen verbinding met vertrouwde MCP-servers en controleer deze servers voortdurend op wijzigingen (zelfs een vertrouwde server kan worden gehackt). De gegevensstroom van MCP-tools beoordelen en begrijpen (een legitieme MCP-tool kan bijvoorbeeld informatie uit een door de aanvaller gecontroleerde bron halen, zoals een GitHub PR)
  • Controleer bronnen die u toevoegt (zoals via URL’s) handmatig op verborgen instructies (opmerkingen in HTML / verborgen CSS-tekst / onzichtbare Unicode-tekens, enz.)

Ontwikkelaars van AI-agents en AI IDE’s wordt geadviseerd om het principe van minimale bevoegdheden toe te passen op LLM-tools, promptinjectievectoren te minimaliseren, de systeemprompt te versterken, sandboxing te gebruiken om opdrachten uit te voeren, beveiligingstests uit te voeren voor het doorlopen van paden, het lekken van informatie en opdrachtinjectie.

De onthulling valt samen met de ontdekking van verschillende kwetsbaarheden in AI-coderingstools die een breed scala aan gevolgen kunnen hebben:

  • Een opdrachtinjectiefout in OpenAI Codex CLI (CVE-2025-61260) die profiteert van het feit dat het programma impliciet opdrachten vertrouwt die zijn geconfigureerd via MCP-serveringangen en deze bij het opstarten uitvoert zonder toestemming van de gebruiker te vragen. Dit kan leiden tot willekeurige uitvoering van opdrachten wanneer een kwaadwillende actor kan knoeien met de bestanden “.env” en “./.codex/config.toml” van de repository.
  • Een indirecte injectie in Google Antigravity met behulp van een vergiftigde webbron die kan worden gebruikt om Gemini te manipuleren om inloggegevens en gevoelige code uit de IDE van een gebruiker te verzamelen en de informatie te exfiltreren met behulp van een browsersubagent om naar een kwaadaardige site te bladeren.
  • Meerdere kwetsbaarheden in Google Antigravity die kunnen resulteren in data-exfiltratie en uitvoering van externe opdrachten via indirecte promptinjecties, en die een kwaadaardige vertrouwde werkruimte kunnen gebruiken om een ​​persistente achterdeur in te sluiten om willekeurige code uit te voeren telkens wanneer de applicatie in de toekomst wordt gestart.
  • Een nieuwe klasse van kwetsbaarheden genaamd PromptPwnd die zich richt op AI-agents die zijn verbonden met kwetsbare GitHub Actions (of GitLab CI/CD-pijplijnen) met snelle injecties om hen te misleiden om ingebouwde bevoorrechte tools uit te voeren die leiden tot informatielekken of code-uitvoering.

Nu agentische AI-tools steeds populairder worden in bedrijfsomgevingen, laten deze bevindingen zien hoe AI-tools het aanvalsoppervlak van ontwikkelmachines vergroten, vaak door gebruik te maken van het onvermogen van een LLM om onderscheid te maken tussen instructies die door een gebruiker worden gegeven om een ​​taak te voltooien en inhoud die deze kan binnenkrijgen van een externe bron, die op zijn beurt een ingebedde kwaadaardige prompt kan bevatten.

“Elke repository die AI gebruikt voor probleemtriage, PR-labeling, codesuggesties of geautomatiseerde antwoorden loopt het risico van snelle injectie, commando-injectie, geheime exfiltratie, repository-compromis en upstream supply chain-compromis”, zegt Aikido-onderzoeker Rein Daelman.

Marzouk zei ook dat de ontdekkingen het belang benadrukten van ‘Secure for AI’, een nieuw paradigma dat door de onderzoeker is bedacht om beveiligingsuitdagingen aan te pakken die door AI-functies worden geïntroduceerd, waardoor ervoor wordt gezorgd dat producten niet alleen standaard veilig zijn en veilig door hun ontwerp, maar ook worden ontworpen met in gedachten hoe AI-componenten in de loop van de tijd kunnen worden misbruikt.

“Dit is opnieuw een voorbeeld van waarom het ‘Secure for AI’-principe nodig is”, zegt Marzouk. “Het verbinden van AI-agents met bestaande applicaties (in mijn geval IDE, in hun geval GitHub Actions) creëert nieuwe opkomende risico’s.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Beste Qi2-telefoonautohouders Ultieme koopgids

Intel mag tegen 2028 iPhone-chips voor Apple produceren

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]