能随意窃取数据！这款热门 AI 编程工具曝重大隐患

漏洞数量惊人：30余项安全缺陷波及主流AI IDE

近日，安全研究人员Ari Marzouk公布了一项令人震惊的发现：在Cursor、Windsurf、GitHub Copilot、Zed.dev、Roo Code、Kiro.dev、Junie和Cline等八款热门AI集成开发环境（IDE）及编程助手中，存在至少30个安全漏洞，其中24个已被分配CVE编号。这些漏洞被统称为“IDEsaster”，其核心问题在于AI IDE本身的安全架构存在致命盲区——所有受测产品都默认IDE自身的传统功能是安全的，但当AI智能体被引入后，这些本该无害的功能就变成了数据窃取和远程控制的武器。

攻击链揭秘：提示注入如何武器化IDE合法功能

研究人员指出，这些攻击链的核心原理并不复杂：攻击者通过精心构造的提示注入，首先劫持AI智能体的上下文（例如隐藏在粘贴的URL、包含隐形字符的文本中），然后利用智能体去“激活”IDE原本无害的合法功能。例如，智能体可以调用read_file和write_file等工具，让IDE主动向攻击者控制的服务器发送包含敏感文件内容的请求，或者修改IDE的配置文件，将可执行文件路径指向恶意代码。这种攻击链颠覆了传统安全认知——在过去，攻击者需要利用工具本身的漏洞，而现在他们只需要让AI去操作IDE的“正常”设置就能达到目的。

数据外泄与远程执行：三种典型攻击场景

研究人员披露了三种已验证的攻击路径，场景触目惊心：

• 利用远程JSON模式窃取数据：攻击者通过提示注入，让智能体读取敏感文件（如SSH密钥、密码），然后写入一个引用攻击者控制域名的JSON文件。当IDE自动发起GET请求验证该JSON模式时，所有敏感数据便悄无声息地外泄。这一漏洞影响了Cursor、Roo Code、JetBrains Junie、GitHub Copilot等七款工具。
• 篡改IDE设置实现任意代码执行：通过提示注入编辑.vscode/settings.json或.idea/workspace.xml等配置文件，将php.validate.executablePath或PATH_TO_GIT等设置指向攻击者准备好的恶意可执行文件。当IDE下次调用该设置时，恶意代码自动运行。Cursor、GitHub Copilot、Zed.dev等工具均受影响。
• 编辑工作区配置文件实现无需交互的代码执行：攻击者利用自动批准的文件写入权限，直接覆写工作区配置文件（*.code-workspace），修改多根工作区设置。由于默认情况下对工作区内部文件的写入是自动批准的，攻击者无需用户任何点击或确认，就能实现持久化控制。

防护指南：开发者如何抵御AI编码工具风险

面对这些已经公开的漏洞，安全专家给出了四项紧急防护建议：

• 限制AI IDE的使用范围：只在完全受信任的项目和文件内启用AI编程助手。恶意规则文件、隐藏在README中的指令甚至文件名本身都可能成为提示注入的载体。
• 谨慎连接外部MCP服务器：仅连接经过验证的MCP服务器，并持续监控其行为变化，因为即使是受信任的服务器也可能被入侵。审查MCP工具的数据流，警惕从外部源（如GitHub PR）拉取的信息。
• 人工审查所有外部来源：在向AI智能体提供外部内容（尤其是通过URL粘贴的文本）时，必须手动检查其中是否隐藏了HTML注释、CSS隐藏文本或不可见的Unicode字符。
• 开发者应加固AI智能体权限：开发AI工具的公司需遵循最小权限原则，对LLM调用的工具进行严格限制，强化系统提示词，使用沙箱运行命令，并针对路径遍历、信息泄露和命令注入进行专项安全测试。

行业警示：AI智能体正急剧扩大攻击面

这一系列漏洞并非孤例。就在同一时期，OpenAI Codex CLI被曝存在命令注入漏洞（CVE-2025-61260），Google Antigravity被曝可通过投毒网页源间接提示注入窃取凭证，甚至针对CI/CD管道的“PromptPwnd”攻击也被发现，可让AI智能体成为企业供应链的突破口。安全公司Aikido的研究员Rein Daelman警告：“任何使用AI进行问题分类、PR标记或自动回复的代码仓库，都面临提示注入、密钥泄露和供应链被破坏的风险。” 随着AI编程工具从“副驾驶”演变为全自动的“智能体”，开发环境的安全性正经历前所未有的挑战——传统安全边界在AI面前变得形同虚设，而“面向AI的安全”设计原则已刻不容缓。