enero 14, 2026
ai-coding.jpg

6 de diciembre de 2025Ravie LakshmananSeguridad/vulnerabilidad de la IA

Se han descubierto más de 30 vulnerabilidades en varios entornos de desarrollo integrados (IDE) de inteligencia artificial (IA) que combinan primitivas de inyección rápida con funciones legítimas para lograr la exfiltración de datos y la ejecución remota de código.

Las deficiencias de seguridad fueron identificadas colectivamente Desastre del IDE por el investigador de seguridad Ari Marzouk (MaccariTA). Afectan a IDE y extensiones populares como Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie y Cline, entre otras. De ellos, a 24 se les asignaron identificadores CVE.

“Creo que el hecho de que múltiples cadenas de ataques universales afectaran a cada IDE de IA probado es el hallazgo más sorprendente de esta investigación”, dijo Marzouk a The Hacker News.

“Todos los IDE de IA (y los asistentes de codificación que se integran con ellos) prácticamente ignoran el software base (IDE) en su modelo de amenaza. Consideran que sus características son inherentemente seguras porque han existido durante años. Sin embargo, cuando se agregan agentes de IA que pueden actuar de forma autónoma, esas mismas características pueden convertirse en primitivas de exfiltración de datos y RCE”.

En esencia, estos problemas vinculan tres vectores diferentes comunes a los IDE impulsados ​​por IA:

  • Evite las barreras de seguridad de un modelo de lenguaje grande (LLM) para secuestrar el contexto y ejecutar los comandos del atacante (también llamado inyección rápida).
  • Realice acciones específicas sin requerir la interacción del usuario a través de llamadas de herramientas aprobadas automáticamente por un agente de IA.
  • Activar las funciones legítimas de un IDE que permiten a un atacante violar el límite de seguridad para revelar datos confidenciales o ejecutar comandos arbitrarios.

Los problemas resaltados difieren de cadenas de ataques anteriores que utilizaron inyecciones rápidas junto con herramientas vulnerables (o abusaron de herramientas legítimas para realizar acciones de lectura o escritura) para cambiar la configuración de un agente de IA para lograr la ejecución de código u otro comportamiento no deseado.

Ciberseguridad

Lo que tiene de especial IDEsaster es que requiere primitivas de inyección rápida y las herramientas de un agente para activar funciones legítimas del IDE, lo que resulta en una fuga de información o ejecución de comandos.

El secuestro de contexto puede ocurrir de varias maneras, incluso a través de referencias de contexto agregadas por el usuario, que pueden ser en forma de URL insertadas o texto con caracteres ocultos que no son visibles para el ojo humano pero que pueden ser analizados por el LLM. Alternativamente, el contexto puede contaminarse mediante envenenamiento de herramientas o ataques mediante el uso de un servidor Model Context Protocol (MCP), o cuando un servidor MCP legítimo analiza la entrada controlada por el atacante desde una fuente externa.

Algunos de los ataques identificados habilitados por la nueva cadena de exploits son los siguientes:

  • CVE-2025-49150 (cursor), CVE-2025-53097 (código Roo), CVE-2025-58335 (JetBrains Junie), GitHub Copilot (sin CVE), Kiro.dev (sin CVE) y Claude Code (gestionado con una alerta de seguridad) – Usar inyección rápida para leer un archivo confidencial utilizando una herramienta legítima (“read_file”) o vulnerable (“search_files” o “search_project”) y escribir un archivo JSON a través de una herramienta legítima (“write_file” o “edit_file)) con un esquema JSON remoto alojado en un dominio controlado por un atacante, lo que provoca que los datos se pierdan cuando el IDE realiza una solicitud GET
  • CVE-2025-53773 (GitHub Copilot), CVE-2025-54130 (Cursor), CVE-2025-53536 (Roo Code), CVE-2025-55012 (Zed.dev) y Claude Code (manejado con una alerta de seguridad) – Uso de inyección rápida para manipular archivos de configuración IDE (“.vscode/settings.json” o “.idea/workspace.xml”) para lograr la ejecución del código configurando “php.validate.executablePath” o “PATH_TO_GIT” en la ruta de un archivo ejecutable que contiene código malicioso
  • CVE-2025-64660 (copilot de GitHub), CVE-2025-61590 (cursores) y CVE-2025-58372 (código roo) – Uso de inyección rápida para editar archivos de configuración del espacio de trabajo (*.code-workspace) y anular la configuración del espacio de trabajo de múltiples raíces para lograr la ejecución del código.

Vale la pena señalar que los dos últimos ejemplos dependen de que un agente de IA esté configurado para aprobar automáticamente la escritura de archivos, lo que posteriormente le da al atacante la capacidad de influir en las indicaciones para provocar que se escriban configuraciones maliciosas en el espacio de trabajo. Sin embargo, debido a que este comportamiento se aprueba automáticamente de forma predeterminada para los archivos en el espacio de trabajo, da como resultado la ejecución de código arbitrario sin interacción del usuario ni la necesidad de volver a abrir el espacio de trabajo.

Dado que las inyecciones instantáneas y los jailbreak representan el primer paso en la cadena de ataque, Marzouk ofrece las siguientes recomendaciones:

  • Utilice IDE de IA (y agentes de IA) solo con proyectos y archivos confiables. Los archivos de reglas maliciosos, las instrucciones ocultas en el código fuente u otros archivos (README) e incluso los nombres de los archivos pueden convertirse en vectores de inyección.
  • Conéctese únicamente a servidores MCP confiables y monitoree continuamente estos servidores para detectar cambios (incluso un servidor confiable puede ser pirateado). Revisar y comprender el flujo de datos de las herramientas MCP (por ejemplo, una herramienta MCP legítima podría recuperar información de una fuente controlada por un atacante, como un PR de GitHub).
  • Verifique manualmente las fuentes que agrega (por ejemplo, a través de URL) para ver si hay instrucciones ocultas (comentarios en HTML/texto oculto por CSS/caracteres Unicode invisibles, etc.).

Se recomienda a los desarrolladores de agentes de IA y IDE de IA que apliquen el principio de privilegio mínimo a las herramientas LLM, minimicen los vectores de inyección de mensajes, refuercen el mensaje del sistema, utilicen sandboxing para ejecutar comandos y realicen pruebas de seguridad para recorrido de ruta, fuga de información e inyección de comandos.

La divulgación coincide con el descubrimiento de varias vulnerabilidades en las herramientas de codificación de IA que podrían tener diversas implicaciones:

  • Una falla de inyección de comandos en OpenAI Codex CLI (CVE-2025-61260) que explota el hecho de que el programa confía implícitamente en los comandos configurados a través de las entradas del servidor MCP y los ejecuta al inicio sin pedir permiso a un usuario. Esto podría provocar la ejecución de comandos arbitrarios si un actor malintencionado puede manipular los archivos .env y ./.codex/config.toml del repositorio.
  • Una inyección inmediata indirecta en Google Antigravity utilizando una fuente web envenenada que puede usarse para manipular a Gemini para que recopile credenciales y códigos confidenciales del IDE de un usuario y extraiga la información utilizando un subagente del navegador para navegar a un sitio web malicioso.
  • Múltiples vulnerabilidades en Google Antigravity que podrían provocar la filtración de datos y la ejecución remota de comandos mediante inyecciones indirectas, así como la explotación de un espacio de trabajo malicioso de confianza para incorporar una puerta trasera persistente para ejecutar código arbitrario en cualquier lanzamiento futuro de una aplicación.
  • Una nueva clase de vulnerabilidad llamada “PromptPwnd” que apunta a agentes de IA conectados a GitHub Actions (o canalizaciones de GitLab CI/CD) vulnerables con inyecciones rápidas para engañarlos para que ejecuten herramientas privilegiadas integradas, lo que lleva a la fuga de información o la ejecución de código.
Ciberseguridad

A medida que las herramientas de IA agentes se vuelven más populares en entornos empresariales, estos resultados demuestran cómo las herramientas de IA expanden la superficie de ataque de las máquinas de desarrollo, a menudo explotando la incapacidad de un LLM para distinguir entre las instrucciones de un usuario para completar una tarea y el contenido que puede ingerir de una fuente externa, que a su vez puede contener una solicitud maliciosa incorporada.

“Cualquier repositorio que utilice IA para la clasificación de problemas, la señalización de relaciones públicas, las sugerencias de código o las respuestas automatizadas corre el riesgo de sufrir una inyección rápida, una inyección de comandos, una exfiltración secreta, un compromiso del repositorio y un compromiso de la cadena de suministro”, dijo el investigador de Aikido Rein Daelman.

Marzouk también dijo que los descubrimientos subrayan la importancia de “Secure for AI”, un nuevo paradigma que el investigador ha acuñado para abordar los desafíos de seguridad planteados por las capacidades de AI, garantizando que los productos no sólo sean estándar y seguros por diseño, sino que también estén diseñados con la posibilidad de que los componentes de AI sean mal utilizados con el tiempo.

“Este es otro ejemplo de por qué es necesario el principio 'Seguro para la IA'”, afirmó Marzouk. “Conectar agentes de IA a aplicaciones existentes (en mi caso IDE, en su caso GitHub Actions) crea nuevos riesgos”.

About The Author

desafiomayor

See author's posts

Related News

payment.png

Una campaña de skimming web de larga duración roba tarjetas de crédito de sitios de pago en línea

enero 14, 2026 0
mexc.jpg

La extensión maliciosa de Chrome roba claves API de MEXC haciéndose pasar por una herramienta comercial

enero 14, 2026 0

You may have missed

1768355107_095547100_1737705898-20250122_100644.jpg

Última serie de promociones de Samsung HP en enero de 2026, descuentos de hasta 2,5 millones de IDR: las mejores opciones a principios de año

enero 14, 2026 0
momen-komet-c2023-a3-menari-di-langit-indonesia-spanyol-dan-uruguay-2_169.jpeg

Los expertos dicen que el “Gran Cometa” pronto cruzará la Tierra. Consulta el horario

enero 14, 2026 0
068830500_1768286938-GTA_6__Dok._Rockstargames_.jpg

GTA 6 se lanzará en noviembre de 2026, Xbox corre peligro de perder popularidad en comparación con PS5

enero 14, 2026 0
ilustrasi-deepfake-1_169.jpeg

Cuanto más sofisticados, más difíciles son de detectar los deepfakes

enero 14, 2026 0
004916400_1764837041-Restart_HP.png

La diferencia entre reiniciar y apagar un teléfono móvil: ¿cuál es mejor para aumentar el rendimiento?

enero 14, 2026 0
connections-sports-edition-6859.jpg

Conexiones del NYT de hoy: notas y respuestas de la edición deportiva del 14 de enero #478

enero 14, 2026 0