تم الكشف عن أكثر من 30 ثغرة أمنية في بيئات التطوير المتكاملة (IDEs) المدعومة بالذكاء الاصطناعي، مما يجمع بين تقنيات حقن الأوامر (prompt injection) والميزات المشروعة، بهدف استخلاص البيانات وتنفيذ التعليمات البرمجية عن بعد. هذه القضية، التي أطلق عليها الباحث الأمني آري مارزوك اسم “IDEsaster”، تؤثر على العديد من بيئات التطوير الشهيرة.
تشمل بيئات التطوير المتأثرة Cursor و Windsurf و Kiro.dev و GitHub Copilot و Zed.dev و Roo Code و Junie وغيرها، وقد تم تخصيص معرّفات CVE لأربعة وعشرين منها. وأشار مارزوك إلى أن التأثير الشامل لهذه السلاسل الهجومية على كل بيئة تطوير تم اختبارها هو أكثر ما يثير الدهشة.
ثغرات IDEsaster وتأثيرها على أمن المطورين
تكمن المشكلة الأساسية في أن هذه البيئات تتجاهل إلى حد كبير البرامج الأساسية (IDE) في نموذج التهديدات الخاص بها. فهي تعامل ميزاتها على أنها آمنة بطبيعتها، لكن إضافة عوامل الذكاء الاصطناعي التي يمكن أن تعمل بشكل مستقل تتيح تحويل هذه الميزات إلى أدوات لاستخلاص البيانات وتنفيذ التعليمات البرمجية عن بعد.
تعتمد هذه الثغرات الأمنية بشكل أساسي على سلسلة من ثلاثة متجهات مشتركة في بيئات التطوير المدعومة بالذكاء الاصطناعي: تجاوز حاجز الحماية الخاص بنماذج اللغة الكبيرة (LLM) للاستيلاء على السياق وتنفيذ أوامر المهاجم؛ تنفيذ إجراءات معينة دون تفاعل المستخدم عبر استدعاءات الأدوات المعتمدة تلقائيًا من قبل عامل الذكاء الاصطناعي؛ واستغلال ميزات بيئة التطوير المشروعة للخروج من حدود الأمان وتسريب بيانات حساسة أو تنفيذ أوامر عشوائية.
آليات الاستهداف وسيناريوهات الهجوم
تختلف هذه المشكلات عن سلاسل الهجوم السابقة التي استغلت حقن الأوامر بالاشتراك مع أدوات ضعيفة، أو إساءة استخدام الأدوات المشروعة لتعديل تكوين عامل الذكاء الاصطناعي. ما يميز IDEsaster هو استخدام تقنيات حقن الأوامر وأدوات العوامل لتنشيط ميزات بيئة التطوير المشروعة، مما يؤدي إلى تسريب معلومات أو تنفيذ أوامر.
يمكن تحقيق اختطاف السياق بعدة طرق، بما في ذلك الإشارات السياقية التي يضيفها المستخدم، مثل النصوص أو الروابط التي قد تحتوي على أحرف مخفية غير مرئية للبشر ولكن يمكن لنموذج اللغة الكبير تحليلها. بدلاً من ذلك، يمكن تلويث السياق عبر خادم بروتوكول سياق النموذج (MCP) من خلال تسميم الأدوات أو عند تحليل خادم MCP صالح لمدخلات يتحكم فيها المهاجم من مصدر خارجي.
أمثلة على الهجمات الممكنة
من بين الهجمات التي أصبحت ممكنة بفضل سلسلة الثغرات الجديدة:
- استخدام حقن الأوامر لقراءة ملف حساس، ثم كتابة ملف JSON عبر أداة مشروعة، مما يتسبب في تسرب البيانات عند قيام بيئة التطوير بإجراء طلب GET. هذا ينطبق على ثغرات مثل CVE-2025-49150 (Cursor) و CVE-2025-53097 (Roo Code) وغيرها.
- استخدام حقن الأوامر لتعديل ملفات إعدادات IDE، مثل “.vscode/settings.json”، لتحقيق تنفيذ التعليمات البرمجية عن طريق تعيين مسارات تنفيذية ضارة. تشمل هذه الثغرات CVE-2025-53773 (GitHub Copilot) و CVE-2025-54130 (Cursor).
- تعديل ملفات تكوين مساحة العمل لتجاوز إعدادات مساحة العمل المتعددة الجذور، بهدف تنفيذ التعليمات البرمجية. هذا يشمل ثغرات مثل CVE-2025-64660 (GitHub Copilot).
تعتمد الأمثلة الأخيرة على تكوين عامل الذكاء الاصطناعي للموافقة تلقائيًا على عمليات كتابة الملفات، مما يسمح للمهاجم بتغيير إعدادات مساحة العمل. وبما أن هذا السلوك معتمد تلقائيًا للملفات داخل مساحة العمل، فإنه يؤدي إلى تنفيذ تعليمات برمجية عشوائية دون أي تدخل من المستخدم.
توصيات وحلول للمطورين
للتخفيف من هذه المخاطر، يقدم الباحث مارزوك عدة توصيات أساسية للمطورين:
- استخدام بيئات التطوير المدعومة بالذكاء الاصطناعي مع المشاريع والملفات الموثوقة فقط. يمكن أن تصبح الملفات الضارة أو التعليمات المخفية في أسماء الملفات أو التعليمات البرمجية نفسها نواقل لحقن الأوامر.
- الاتصال بخوادم MCP الموثوقة فقط ومراقبتها باستمرار بحثًا عن أي تغييرات. يجب مراجعة وفهم تدفق البيانات لأدوات MCP.
- مراجعة المصادر المضافة يدويًا، مثل الروابط، بحثًا عن تعليمات مخفية، بما في ذلك التعليقات في HTML أو النص المخفي أو أحرف Unicode غير المرئية.
يُنصح مطورو عوامل وأدوات الذكاء الاصطناعي بتطبيق مبدأ الامتياز الأقل لأدوات نماذج اللغة الكبيرة، وتقليل نواقل حقن الأوامر، وتقوية النظام، واستخدام العزل لتشغيل الأوامر، وإجراء اختبارات أمنية للكشف عن اجتياز المسار، وتسريب المعلومات، وحقن الأوامر.
يتزامن هذا الكشف مع اكتشاف ثغرات أخرى في أدوات الترميز بالذكاء الاصطناعي، مثل عيب في تنفيذ الأوامر في OpenAI Codex CLI (CVE-2025-61260)، وحقن أوامر غير مباشر في Google Antigravity، وثغرات متعددة في نفس الأداة تسمح بتسريب البيانات وتنفيذ الأوامر عن بعد.
مع تزايد شعبية أدوات الذكاء الاصطناعي الوكيلة في بيئات الشركات، تبين هذه النتائج كيف توسع أدوات الذكاء الاصطناعي سطح الهجوم لآلات التطوير. يساهم ذلك في ظهور مخاطر جديدة، مما يؤكد أهمية مبدأ “آمن للذكاء الاصطناعي” (Secure for AI) لمعالجة التحديات الأمنية التي تقدمها هذه التقنيات.