Pesquisadores de segurança cibernética revelaram uma nova e preocupante classe de falhas em ferramentas de desenvolvimento de código assistidas por inteligência artificial, como GitHub Copilot e Cursor. O relatório, batizado de “IDEsaster”, detalha mais de 30 vulnerabilidades que podem ser exploradas para roubo de dados e execução remota de código (RCE) em 100% das IDEs de IA testadas. A descoberta acende um alerta sobre a necessidade de um novo paradigma de segurança, o “Princípio Seguro para IA”, para proteger milhões de desenvolvedores no Brasil e no mundo.
O que é o “IDEsaster” e quais ferramentas de IA estão em risco?
O termo “IDEsaster” foi cunhado para descrever a falha fundamental de segurança que ocorre quando agentes de IA são integrados a Ambientes de Desenvolvimento Integrado (IDEs) tradicionais. Segundo o pesquisador Ari Marzouk, as IDEs não foram construídas sob o que ele chama de “Princípio Seguro para IA”, permitindo que recursos inofensivos se tornem vetores de ataque quando manipulados por agentes autônomos. Ferramentas populares como GitHub Copilot, Cursor, Windsurf, Kiro.dev, Zed.dev, JetBrains Junie e Claude Code estão entre as afetadas, com mais de vinte e quatro CVEs (Vulnerabilidades e Exposições Comuns) já atribuídas.
Como a vulnerabilidade AI IDEs permite roubo de dados e RCE?
A cadeia de ataque explora a confiança que o agente de IA tem nas funcionalidades básicas da IDE. Um dos vetores mais críticos é o “Remote JSON Schema”, que permite ao agente, após ser alvo de injeção de prompt, escrever um arquivo JSON com um esquema remoto malicioso. Ao tentar validar o esquema, a IDE automaticamente faz uma requisição GET para um servidor controlado pelo atacante, vazando dados sensíveis do projeto, como chaves de API ou informações de configuração. Outro vetor permite a sobrescrita de configurações da IDE, como o arquivo .vscode/settings.json, para forçar a execução de código arbitrário (RCE) no sistema do desenvolvedor.
A urgência do “Princípio Seguro para IA” para desenvolvedores
A pesquisa conclui que, a curto prazo, a classe de vulnerabilidade não pode ser eliminada sem uma reformulação na arquitetura das IDEs. A solução de longo prazo exige que os desenvolvedores de ferramentas adotem o “Princípio Seguro para IA”, que inclui a aplicação do princípio do menor privilégio para as ferramentas do LLM (Large Language Model), exigindo intervenção humana (HITL) para ações sensíveis e implementando sandboxing para comandos executados. Para os desenvolvedores brasileiros, a recomendação é clara: usar ferramentas de IA apenas em projetos confiáveis e revisar manualmente qualquer código ou configuração sugerida pelo agente.
A vulnerabilidade ressalta que a segurança de código não depende apenas da qualidade do código gerado, mas também da segurança das ferramentas que o auxiliam. Para mais detalhes técnicos sobre os vetores de ataque e as mitigações propostas, o relatório completo “IDEsaster” está disponível no blog do pesquisador Ari Marzouk [1].
Para encontrar outras notícias sobre segurança e inteligência artificial, você pode realizar uma busca no IntrigaBits.
Referências:
[1] IDEsaster: A Novel Vulnerability Class in AI IDEs | MaccariTA