كشفت دراسة أمنية حديثة عن أكثر من 30 ثغرة في بيئات تطوير برمجيات مدعومة بالذكاء الاصطناعي، ما يتيح للمهاجمين تنفيذ عمليات اختراق تتضمن تسريب البيانات وتنفيذ الأوامر عن بعد. وقد أطلق على هذا النوع من الثغرات اسم IDEsaster، ويعود الفضل في اكتشافه إلى الباحث الأمني Ari Marzouk.
تشمل الثغرات أدوات وملحقات برمجية شائعة مثل Cursor وWindsurf وKiro.dev وGitHub Copilot وZed.dev وRoo Code وJunie وCline، وقد تم تصنيف 24 ثغرة منها رسمياً ضمن نظام CVE العالمي لتتبع الثغرات.
يعتمد هذا النوع من الهجمات على دمج 3 تقنيات بشكل متسلسل:
- تخطي آليات الحماية في نماذج اللغة الكبيرة عبر التلاعب بالمحفزات لاستغلال السياق.
- استغلال أدوات الذكاء الاصطناعي التي تنفذ الأوامر دون الحاجة لتفاعل المستخدم.
- تفعيل خصائص موجودة أصلاً في بيئة التطوير تستخدم بشكل مشروع، لكن يمكن تسخيرها لتنفيذ تعليمات ضارة.
ومن بين الثغرات المكتشفة، تم تسجيل هجمات تمكنت من تعديل ملفات الإعدادات في بيئات التطوير لتشير إلى ملفات تنفيذية خبيثة. بعض الأمثلة تتضمن:
- CVE-2025-49150 في Cursor
- CVE-2025-53097 في Roo Code
- CVE-2025-58335 في JetBrains Junie
- مشكلات مشابهة في GitHub Copilot وClaude Code وKiro.dev
وتسمح هذه الثغرات بتنفيذ أوامر عند تشغيل بيئة العمل أو حتى من دون إعادة تشغيلها، خصوصاً عند تفعيل إعدادات تلقائية تتيح الكتابة داخل الملفات.
يشير الباحث إلى أن هذه الهجمات تختلف عن التهديدات التقليدية، لأنها تستخدم خصائص مشروعة ومبنية مسبقاً ضمن أدوات التطوير، وتعيد تسخيرها ضمن تسلسل خبيث يشمل الحقن السياقي وسرقة السياق، إما من خلال روابط خارجية أو محتوى مشفر لا يمكن للمستخدم ملاحظته.
من جهة أخرى، كشف Marzouk عن مجموعة من التوصيات تشمل:
- استخدام بيئات تطوير موثوقة فقط، وعدم التعامل مع مصادر أو تعليمات غير معروفة حتى لو جاءت من ملفات README أو أسماء ملفات.
- ربط أدوات الذكاء الاصطناعي بخوادم MCP موثوقة، ومراقبة أي تغييرات عليها.
- مراجعة جميع المصادر المضافة يدوياً للتأكد من خلوّها من تعليمات مخفية أو رموز غير مرئية.
كما تم التطرق إلى ثغرات إضافية في أدوات أخرى أبرزها:
- ثغرة تنفيذ أوامر في OpenAI Codex CLI (CVE-2025-61260) تتيح تنفيذ أوامر مخزنة في ملفات الإعداد دون إذن المستخدم.
- ثغرات في Google Antigravity تسمح باستغلال الوكلاء الفرعيين عبر متصفح لتسريب البيانات أو زراعة تعليمات خبيثة.
- فئة جديدة من الثغرات باسم PromptPwnd تستهدف تكامل أدوات الذكاء الاصطناعي مع أنظمة CI/CD مثل GitHub Actions لاستغلالها في تنفيذ أوامر حساسة.
يشدد التقرير على أن هذه الاكتشافات تظهر توسع أدوات الذكاء الاصطناعي من نطاق الهجمات، نظراً لقدرتها على تفسير التعليمات الآتية من مصادر غير موثوقة كأنها أوامر صادرة من المستخدم نفسه.
ويبرز الباحث أن على المؤسسات اعتماد مفهوم Secure for AI الذي يدعو إلى تصميم الأنظمة بوعي كامل حول كيفية إساءة استخدام مكونات الذكاء الاصطناعي، ما يعني أن تكون الحلول “آمنة من أجل الذكاء الاصطناعي”، وليس فقط “آمنة من الذكاء الاصطناعي”.
