كشف تقرير أمني حديث عن فئة جديدة من الثغرات الأمنية الخطيرة، أطلق عليها اسم “IDEsaster”، والتي تؤثر على ملايين المطورين حول العالم وتستهدف أدوات مساعدة البرمجة المدعومة بالذكاء الاصطناعي مثل GitHub Copilot، Gemini CLI، و Claude. هذه الثغرات تستغل طبيعة بيئات التطوير المتكاملة (IDEs) الحديثة، مما يتيح للمهاجمين تنفيذ أوامر عن بعد وسرقة البيانات.
تشكل أدوات الذكاء الاصطناعي المدمجة في بيئات التطوير المتكاملة (IDEs) العمود الفقري للكثير من عمليات تطوير البرمجيات الحديثة، حيث تسهم في تسريع الإنتاجية بشكل كبير. ومع ذلك، فإن هذا التطور السريع قد فتح الباب أمام مخاطر أمنية غير متوقعة، خاصة مع دمج هذه الأدوات الذكية في بنى IDEs التقليدية التي لم تُصمم في الأصل للتعامل مع استقلالية هذه العوامل الذكية.
ثغرات IDEsaster الخطيرة تهدد أدوات الذكاء الاصطناعي في تطوير البرمجيات
تسمح ثغرات “IDEsaster” للمهاجمين باستغلال التفاعل بين عوامل الذكاء الاصطناعي والميزات الأساسية لبيئات التطوير المتكاملة، مثل Visual Studio Code و JetBrains. على عكس الثغرات التقليدية التي تستهدف عيوبًا محددة في أداة واحدة، فإن هذه السلسلة من الهجمات تستفيد من ميزات IDEs الجوهرية، كملفات التهيئة وإعدادات مساحة العمل، لتنفيذ إجراءات خبيثة.
من خلال التلاعب بهذه العناصر الأساسية، يمكن للمهاجمين تجاوز حدود الأمان القياسية، وتحويل الميزات المفيدة إلى نواقل لسرقة البيانات وتنفيذ الأوامر عن بعد. وهذا يعرض ملايين المطورين الذين يعتمدون على هذه الأدوات لتهديدات كبيرة.
آلية الهجوم وتنفيذ الأوامر عن بعد
أحد أخطر مظاهر IDEsaster يتمثل في التلاعب بملفات تهيئة IDEs لتحقيق تنفيذ الأوامر عن بعد (RCE). في هذا السيناريو، يستخدم المهاجم تقنية “حقن الأوامر” (prompt injection) لخداع عامل الذكاء الاصطناعي ليقوم بتعديل ملفات الإعدادات الرئيسية.
يشمل ذلك ملفات مثل `.vscode/settings.json` في Visual Studio Code أو `.idea/workspace.xml` في JetBrains IDEs. يختلف هذا عن الاستغلالات السابقة في أنه يستهدف إعدادات IDEs العامة وليس فقط التكوينات الخاصة بالعامل الذكي.
على سبيل المثال، في Visual Studio Code، يمكن للمهاجم توجيه العامل لتعديل ملف غير ضار ظاهريًا، مثل عينة من خطاف Git (Git hook sample)، وإدراج تعليمات برمجية خبيثة فيه. بعد ذلك، يتم توجيه العامل لتعديل الإعداد `php.validate.executablePath` للإشارة إلى هذا الملف التنفيذي الذي تم إنشاؤه حديثًا.
“php.validate.executablePath”: “/absolute/path/to/.git/hooks/pre-commit.sample”
بمجرد تفعيل هذا الإعداد، فإن مجرد إنشاء ملف PHP داخل المشروع يؤدي إلى قيام IDE بتنفيذ المسار الخبيث، مما يمنح المهاجم السيطرة الفورية. هذه الآلية تستغل ميزات التحقق الخاصة بـ IDE ضد المستخدم.
تأثير واسع النطاق على صناعة تطوير البرمجيات
كشف محللو أمنيون من MaccariTA عن هذا الاتجاه المقلق بعد بحث مكثف حول الوضع الأمني لمساعدي الترميز المدعومين بالذكاء الاصطناعي. وأظهرت تحقيقاتهم أن 100% من التطبيقات التي تم اختبارها كانت عرضة لهذا النوع الجديد من الهجمات.
النتائج خطيرة، حيث تم الإبلاغ عن أكثر من 30 ثغرة أمنية منفصلة، وتم تخصيص 24 معرفًا عالميًا لضعف (CVE) عبر المنتجات الرائدة في السوق. دفعت هذه النتائج إلى إصدار تحذيرات أمنية فورية من كبرى الشركات المصنعة، بما في ذلك AWS، مما يسلط الضوء على خطورة التهديد الذي يؤثر على ملايين المطورين عالميًا.
جدير بالذكر أن كبرى الشركات تعمل حالياً على معالجة هذه الثغرات، ولكن على المطورين توخي الحذر وتحديث أدواتهم بانتظام لضمان أعلى مستويات الأمان.