Hơn 30 lỗ hổng trong công cụ mã hóa AI cho phép đánh cắp dữ liệu và tấn công RCE

[T-X]

Hơn 30 lỗ hổng bảo mật đã được tiết lộ trong nhiều Môi trường phát triển tích hợp (IDE) được hỗ trợ bởi trí tuệ nhân tạo (AI) kết hợp các nguyên hàm tiêm mã nhanh chóng với các tính năng hợp pháp để thực hiện việc đánh cắp dữ liệu và thực thi mã từ xa.

Các lỗ hổng bảo mật này được nhà nghiên cứu bảo mật Ari Marzouk (MaccariTA) gọi chung là IDEsaster. Chúng ảnh hưởng đến các IDE và tiện ích mở rộng phổ biến như Cursor, Windsurf,   Đăng nhập để xem liên kết, GitHub Copilot,   Đăng nhập để xem liên kết, Roo Code, Junie và Cline, cùng nhiều tiện ích khác. Trong số này, 24 lỗ hổng đã được gán mã định danh CVE.

Marzouk chia sẻ với The Hacker News: "Tôi nghĩ rằng thực tế là nhiều chuỗi tấn công phổ biến ảnh hưởng đến mọi IDE AI được thử nghiệm là phát hiện đáng ngạc nhiên nhất của nghiên cứu này".

"Tất cả các IDE AI (và các trợ lý mã hóa tích hợp với chúng) đều bỏ qua phần mềm cơ sở (IDE) trong mô hình đe dọa của chúng. Chúng coi các tính năng của mình là an toàn vì chúng đã tồn tại trong nhiều năm. Tuy nhiên, một khi bạn thêm các tác nhân AI có khả năng hoạt động tự động, các tính năng tương tự có thể bị lợi dụng để đánh cắp dữ liệu và các nguyên mẫu RCE."

Về bản chất, những vấn đề này liên kết ba vectơ khác nhau phổ biến với các IDE do AI điều khiển:

    Bỏ qua các rào cản của mô hình ngôn ngữ lớn (LLM) để chiếm đoạt ngữ cảnh và thực hiện lệnh của kẻ tấn công (hay còn gọi là chèn lệnh nhắc)
    Thực hiện một số hành động nhất định mà không cần bất kỳ tương tác nào của người dùng thông qua các lệnh gọi công cụ được tự động chấp thuận của tác nhân AI
    Kích hoạt các tính năng hợp pháp của IDE cho phép kẻ tấn công thoát khỏi ranh giới bảo mật để rò rỉ dữ liệu nhạy cảm hoặc thực hiện các lệnh tùy ý

Các vấn đề được nêu bật khác với các chuỗi tấn công trước đây đã tận dụng việc tiêm mã nhanh kết hợp với các công cụ dễ bị tấn công (hoặc lạm dụng các công cụ hợp pháp để thực hiện hành động đọc hoặc ghi) để sửa đổi cấu hình của tác nhân AI nhằm thực thi mã hoặc thực hiện hành vi không mong muốn khác.

Điều khiến IDEsaster đáng chú ý là nó sử dụng các nguyên mẫu tiêm mã độc nhanh chóng và các công cụ của tác nhân, sử dụng chúng để kích hoạt các tính năng hợp pháp của IDE nhằm gây rò rỉ thông tin hoặc thực thi lệnh.

Việc chiếm đoạt ngữ cảnh có thể được thực hiện bằng vô số cách, bao gồm thông qua các tham chiếu ngữ cảnh do người dùng thêm vào, có thể ở dạng URL được dán hoặc văn bản có ký tự ẩn mà mắt thường không nhìn thấy được, nhưng có thể được phân tích cú pháp bởi LLM. Ngoài ra, ngữ cảnh có thể bị làm nhiễu bằng cách sử dụng máy chủ Giao thức Ngữ cảnh Mô hình (MCP) thông qua việc đầu độc công cụ hoặc kéo thả, hoặc khi một máy chủ MCP hợp pháp phân tích cú pháp dữ liệu đầu vào do kẻ tấn công kiểm soát từ một nguồn bên ngoài.

Một số cuộc tấn công được xác định có thể thực hiện được thông qua chuỗi khai thác mới như sau:

    CVE-2025-49150 (Con trỏ), CVE-2025-53097 (Mã Roo), CVE-2025-58335 (JetBrains Junie), GitHub Copilot (không có CVE),   Đăng nhập để xem liên kết (không có CVE) và Mã Claude (được giải quyết bằng cảnh báo bảo mật ) - Sử dụng lệnh chèn dấu nhắc để đọc tệp nhạy cảm bằng công cụ hợp pháp ("read_file") hoặc công cụ dễ bị tấn công ("search_files" hoặc "search_project") và ghi tệp JSON thông qua công cụ hợp pháp ("write_file" hoặc "edit_file)) với lược đồ JSON từ xa được lưu trữ trên miền do kẻ tấn công kiểm soát, khiến dữ liệu bị rò rỉ khi IDE thực hiện yêu cầu GET
    CVE-2025-53773 (GitHub Copilot), CVE-2025-54130 (Cursor), CVE-2025-53536 (Roo Code), CVE-2025-55012 (Zed.dev) và Claude Code (được xử lý bằng cảnh báo bảo mật ) - Sử dụng lệnh chèn dấu nhắc để chỉnh sửa các tệp cài đặt IDE (".vscode/settings.json" hoặc ".idea/workspace.xml") để thực thi mã bằng cách đặt "php.validate.executablePath" hoặc "PATH_TO_GIT" thành đường dẫn của tệp thực thi có chứa mã độc hại
    CVE-2025-64660 (GitHub Copilot), CVE-2025-61590 (Con trỏ) và CVE-2025-58372 (Mã Roo) - Sử dụng lệnh chèn dấu nhắc để chỉnh sửa các tệp cấu hình không gian làm việc (*.code-workspace) và ghi đè các thiết lập không gian làm việc đa gốc để thực thi mã

Cần lưu ý rằng hai ví dụ cuối cùng xoay quanh việc một tác nhân AI được cấu hình để tự động phê duyệt việc ghi tệp, điều này sau đó cho phép kẻ tấn công có khả năng tác động đến lời nhắc để ghi các cài đặt không gian làm việc độc hại. Tuy nhiên, do hành vi này được tự động phê duyệt theo mặc định cho các tệp trong không gian làm việc, nó dẫn đến việc thực thi mã tùy ý mà không cần bất kỳ tương tác nào của người dùng hoặc không cần phải mở lại không gian làm việc.

Với việc tiêm mã độc và bẻ khóa ngay lập tức đóng vai trò là bước đầu tiên cho chuỗi tấn công, Marzouk đưa ra các khuyến nghị sau -

    Chỉ sử dụng các IDE AI (và tác nhân AI) với các dự án và tệp tin đáng tin cậy. Các tệp quy tắc độc hại, hướng dẫn ẩn bên trong mã nguồn hoặc các tệp tin khác (README), và thậm chí cả tên tệp, đều có thể trở thành các vectơ tiêm nhiễm nhanh chóng.
    Chỉ kết nối với các máy chủ MCP đáng tin cậy và liên tục theo dõi các máy chủ này để phát hiện các thay đổi (ngay cả máy chủ đáng tin cậy cũng có thể bị xâm nhập). Xem xét và hiểu rõ luồng dữ liệu của các công cụ MCP (ví dụ: một công cụ MCP hợp pháp có thể lấy thông tin từ nguồn do kẻ tấn công kiểm soát, chẳng hạn như GitHub PR)
    Kiểm tra thủ công các nguồn bạn thêm (chẳng hạn như qua URL) để tìm hướng dẫn ẩn (bình luận trong HTML/văn bản ẩn css/ký tự unicode vô hình, v.v.)

Các nhà phát triển tác nhân AI và IDE AI được khuyên nên áp dụng nguyên tắc đặc quyền tối thiểu cho các công cụ LLM, giảm thiểu các vectơ chèn lệnh nhắc, củng cố lệnh nhắc hệ thống, sử dụng hộp cát để chạy lệnh, thực hiện thử nghiệm bảo mật để duyệt đường dẫn, rò rỉ thông tin và chèn lệnh.

Việc tiết lộ này trùng hợp với việc phát hiện ra một số lỗ hổng trong các công cụ mã hóa AI có thể gây ra nhiều tác động khác nhau -

    Một lỗ hổng tiêm lệnh trong OpenAI Codex CLI ( CVE-2025-61260 ) lợi dụng việc chương trình ngầm tin tưởng các lệnh được cấu hình thông qua các mục nhập máy chủ MCP và thực thi chúng khi khởi động mà không cần xin phép người dùng. Điều này có thể dẫn đến việc thực thi lệnh tùy ý khi kẻ tấn công có thể can thiệp vào các tệp ".env" và "./.codex/config.toml" của kho lưu trữ.
    Một lệnh tiêm gián tiếp vào Google Antigravity bằng cách sử dụng nguồn web bị nhiễm độc có thể được dùng để thao túng Gemini nhằm thu thập thông tin đăng nhập và mã nhạy cảm từ IDE của người dùng và đánh cắp thông tin bằng cách sử dụng một tác nhân phụ của trình duyệt để duyệt đến một trang web độc hại.
    Nhiều lỗ hổng bảo mật trong Google Antigravity có thể dẫn đến việc đánh cắp dữ liệu và thực thi lệnh từ xa thông qua việc chèn lệnh nhắc gián tiếp, cũng như lợi dụng không gian làm việc đáng tin cậy độc hại để nhúng một cửa hậu cố định nhằm thực thi mã tùy ý mỗi khi ứng dụng được khởi chạy trong tương lai.
    Một loại lỗ hổng bảo mật mới có tên PromptPwnd nhắm vào các tác nhân AI được kết nối với GitHub Actions (hoặc đường ống CI/CD GitLab) dễ bị tấn công bằng cách tiêm lệnh nhắc để lừa chúng thực thi các công cụ đặc quyền tích hợp dẫn đến rò rỉ thông tin hoặc thực thi mã.

Khi các công cụ AI đại lý ngày càng trở nên phổ biến trong môi trường doanh nghiệp, những phát hiện này chứng minh cách các công cụ AI mở rộng bề mặt tấn công của các máy phát triển, thường bằng cách tận dụng khả năng không phân biệt được giữa các hướng dẫn do người dùng cung cấp để hoàn thành nhiệm vụ và nội dung mà nó có thể thu thập từ nguồn bên ngoài, từ đó có thể chứa lời nhắc độc hại được nhúng sẵn.

Nhà nghiên cứu Aikido Rein Daelman cho biết: "Bất kỳ kho lưu trữ nào sử dụng AI để phân loại vấn đề, dán nhãn PR, đề xuất mã hoặc trả lời tự động đều có nguy cơ bị tấn công nhanh chóng, tấn công lệnh, đánh cắp bí mật, xâm phạm kho lưu trữ và xâm phạm chuỗi cung ứng đầu nguồn".

Marzouk cũng cho biết những khám phá này nhấn mạnh tầm quan trọng của "Bảo mật cho AI", một mô hình mới được nhà nghiên cứu đặt ra để giải quyết các thách thức bảo mật do các tính năng AI gây ra, qua đó đảm bảo rằng các sản phẩm không chỉ an toàn theo mặc định và an toàn theo thiết kế mà còn được hình thành dựa trên khả năng các thành phần AI có thể bị lạm dụng theo thời gian.

"Đây là một ví dụ khác cho thấy tại sao nguyên tắc 'Bảo mật cho AI' lại cần thiết", Marzouk nói. "Việc kết nối các tác nhân AI với các ứng dụng hiện có (trong trường hợp của tôi là IDE, còn trường hợp của họ là GitHub Actions) tạo ra những rủi ro mới nổi."