IDEsaster攻擊鏈濫用AI IDE與程式助理，恐致資料外洩與遠端程式碼執行

一項針對AI開發工具的研究揭露，多款主流AI IDE與程式助理存在超過30項安全漏洞，可能被用來竊取專案資料，甚至在開發者電腦上執行任意程式碼。資安研究人員Ari Marzuk將這類問題統稱為IDEsaster，指出受測的AI IDE與整合式程式助理中，所有都可被此攻擊鏈濫用，涉及GitHub Copilot、Cursor、Windsurf、Kiro.dev、Zed.dev、Roo Code、Junie、Cline、Gemini CLI與Claude Code等多款產品，目前已有24項漏洞取得CVE編號，AWS甚至發布安全公告AWS-2025-019回應。

Ari Marzuk表示，傳統IDE設計時未預期之後會嵌入能自動讀寫檔案與設定的AI代理，導致原本被視為安全的IDE內建功能，在AI參與後變成新的攻擊面。AI代理在開發流程中可存取專案檔案、設定檔與外部服務，一旦被提示注入攻擊控制，就可能透過合法工具操作，進一步觸發底層IDE功能，最後演變為資料外洩或遠端程式碼執行。

IDEsaster是一條跨工具通用的攻擊鏈，第一步是在規則檔、README、原始碼註解、檔名或外部MCP伺服器回應中植入隱藏指令，劫持AI代理所見的工作脈絡。第二步則是讓代理透過讀寫檔案或修改設定等工具，執行看似正常的動作。最後一步鎖定VS Code、JetBrains系列、Zed等IDE長期存在的功能，藉由自動載入設定、驗證或外部資源的機制，將前述變更轉化為實際的外連請求或可執行檔呼叫。

Ari Marzuk舉例指出，在多家IDE中，只要專案內存在引用遠端JSON Schema的設定，IDE在載入檔案時就會自動對外發出HTTP請求，要是AI代理先蒐集敏感資訊，再寫入帶有攻擊者網域與參數的JSON設定，IDE就會在開發者未察覺的情況，把資料一併送出，形成資料外洩風險。另一類漏洞則與IDE設定有關，攻擊者可透過AI代理修改驗證工具或Git路徑等設定，讓IDE在執行檔案檢查或版本控制操作時，實際呼叫的是被改寫過的本機可執行檔，達成遠端程式碼執行。

Ari Marzuk提出Secure for AI安全原則回應這類結構性風險，主張在設計階段即考量安全與預設即安全之外，系統設計一開始就要假設AI代理隨時可能遭受提示注入，應採取零信任思維，只允許工具在明確且有限的資源範圍內運作，對於修改IDE設定、啟用新MCP伺服器、對外連線等敏感操作，強制要求人機迴路確認，並搭配沙箱執行與網路出口控管。