近期，研究人员在各类人工智能（AI）集成开发环境（IDE）中发现了三十多个安全漏洞。这些漏洞能够将提示词注入攻击手法与IDE的合法功能相结合，从而实现数据窃取与远程代码执行。

Part01

漏洞概述：攻击面与核心机制

安全研究员Ari Marzouk将这些安全问题统称为“IDEsaster”。受影响的包括Cursor、Windsurf、Kiro.dev、GitHub Copilot、Zed.dev、Roo Code、Junie和Cline等主流AI IDE及其扩展插件，其中24个漏洞已分配CVE编号。

研究人员向媒体表示，此项研究最令人惊讶的发现是，所有受测的AI IDE均受到多种通用攻击链的影响。他指出：“所有AI IDE（以及与之集成的编程助手）在其威胁模型中实际上都忽略了IDE本身。AI IDE 认为这些已有多年历史的固有功能是安全的。然而，一旦引入能够自主行动的AI智能体，这些同样的功能就可能被武器化，成为数据外泄和远程代码执行的利用手段。

这些漏洞的核心在于串联了AI驱动型IDE中常见的三类攻击向量：

1. 绕过大型语言模型的防护：通过提示词注入劫持上下文，使模型执行攻击者指令。

2. 利用AI智能体的自动审批工具调用：无需任何用户交互即可执行特定操作。

3. 触发IDE的合法功能：使攻击者能够突破安全边界，泄露敏感数据或执行任意命令。

   
   

与此前利用提示词注入结合脆弱工具（或滥用合法工具进行读/写操作）的攻击链不同，IDEsaster类漏洞的显著特点在于，它利用提示词注入原语和智能体的工具，去激活IDE自身的合法功能，最终导致信息泄露或命令执行。

Part02

攻击链解析：从提示注入到代码执行

上下文劫持可通过多种方式实现。例如，用户添加的上下文引用（如粘贴的URL或隐藏字符的文本）都可能成为攻击媒介。此外，通过工具投毒攻击滥用模型上下文协议服务器，或当合法的MCP服务器解析来自外部且受攻击者控制的输入时，也可能污染上下文。

研究人员已识别出利用该新型攻击链的部分攻击实例：

• CVE-2025-49150 (Cursor), CVE-2025-53097 (Roo Code), CVE-2025-58335 (JetBrains Junie)等漏洞，利用远程JSON模式的数据外泄：影响Cursor、Roo Code、JetBrains Junie、GitHub Copilot、Kiro.dev和Claude Code。攻击者通过提示注入，使用合法或存在漏洞的文件读取工具获取敏感文件内容，再通过合法文件写入工具创建包含远程JSON模式（托管于攻击者控制域名）的JSON文件。当IDE发起GET请求验证模式时，数据即遭泄露。

  
  

• CVE-2025-53773 (GitHub Copilot), CVE-2025-54130 (Cursor), CVE-2025-53536 (Roo Code), CVE-2025-55012 (Zed.dev)等漏洞，篡改IDE设置实现代码执行 ：影响GitHub Copilot、Cursor、Roo Code、Zed.dev和Claude Code。攻击者通过提示注入编辑IDE配置文件（如 .vscode/settings.json 或 .idea/workspace.xml ），通过修改特定路径设置（如 php.validate.executablePath ），将其指向包含恶意代码的可执行文件路径。

  
  

• CVE-2025-64660 (GitHub Copilot), CVE-2025-61590 (Cursor), and CVE-2025-58372 (Roo Code)等漏洞，编辑工作区配置文件实现代码执行：影响GitHub Copilot、Cursor和Roo Code。攻击者通过提示注入编辑工作区配置文件，覆写多根工作区设置以实现代码执行。

  
  

值得注意的是，后两种攻击方式依赖于AI智能体被配置为自动批准文件写入操作。这使得能够影响提示词的攻击者可以写入恶意的工作区设置。由于在默认情况下，对工作区内部文件的此类操作通常是自动批准的，因此无需任何用户交互或重新打开工作区即可实现任意代码执行。

Part03

缓解与防护建议

鉴于提示词注入和越狱通常是此类攻击链的第一步，研究人员建议：

• 限制使用范围：仅在与受信任的项目和文件中使用AI IDE和AI智能体。恶意规则文件、隐藏在源代码或其他文件（如README）中的指令，甚至文件名都可能成为提示词注入的载体。

  
  

• 谨慎连接外部服务：仅连接到受信任的MCP服务器，并持续监控其变更。审查并理解MCP工具的数据流。

  
  

• 人工审查外部来源：手动审查所添加的外部来源，检查其中是否隐藏指令。

  
  

• 开发者加固措施：AI智能体和IDE开发者应对LLM工具应用最小权限原则，减少提示注入向量，强化系统提示词，使用沙箱运行命令，并对路径遍历、信息泄露和命令注入进行安全测试。

Part04

行业影响：AI工具扩大开发环境攻击面

此次漏洞披露恰逢多个AI编码工具漏洞被曝光，这些漏洞可能产生广泛影响：

• OpenAI Codex CLI命令注入漏洞（CVE-2025-61260）：由于程序隐式信任通过MCP服务器条目配置的命令，并在启动时未经用户许可即执行，当攻击者篡改仓库的.env和./.codex/config.toml文件时，可导致任意命令执行。

  
  

• Google Antigravity间接提示注入：通过投毒的网页源操纵Gemini从用户的IDE中窃取凭证和敏感代码，并利用浏览器子代理将信息外泄至恶意网站。

  
  

• 针对CI/CD管道的新类型漏洞：一种名为“PromptPwnd”的新型漏洞，通过提示注入攻击连接至脆弱GitHub Actions或GitLab CI/CD管道的AI智能体，诱骗其执行具有高权限的内置工具，导致信息泄露或代码执行。

  
  

随着智能体AI工具在企业环境中日益普及，这些发现表明AI工具如何扩大了开发机器的攻击面。这通常利用了LLM无法区分用户为完成任务提供的指令与它可能从外部来源摄取的内容（其中可能嵌入了恶意提示词）这一弱点。

研究人员警告：任何使用AI进行问题分类、PR标记、代码建议或自动回复的代码仓库，都面临提示词注入、命令注入、秘密外泄、仓库被攻陷及上游供应链被破坏的风险。

参考来源：

Researchers Uncover 30+ Flaws in AI Coding Tools Enabling Data Theft and RCE Attacks

https://thehackernews.com/2025/12/researchers-uncover-30-flaws-in-ai.html