Des chercheurs découvrent plus de 30 failles dans les outils de codage de l'IA, permettant le vol de données et les attaques RCE

The Hacker News - TheHackerNews - 06/12
Plus de 30 failles de sécurité dans les IDE basés sur l'IA permettent des fuites de données et l'exécution de code à distance, ce qui montre les risques majeurs liés aux outils de codage modernes.

Plus de 30 vulnérabilités de sécurité ont été révélées dans divers environnements de développement intégrés (IDE) basés sur l'intelligence artificielle (IA) qui combinent des primitives d'injection rapide avec des fonctionnalités légitimes pour réaliser l'exfiltration de données et l'exécution de code à distance.

Les failles de sécurité ont été collectivement nommées IDEsaster par le chercheur en sécurité Ari Marzouk (MaccariTA). Ils affectent les IDE et extensions populaires tels que Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie et Cline, entre autres. Parmi eux, 24 ont reçu des identifiants CVE.

"Je pense que le fait que plusieurs chaînes d'attaque universelles aient affecté chaque IDE d'IA testé est la découverte la plus surprenante de cette recherche", a déclaré Marzouk à The Hacker News.

"Tous les IDE d'IA (et les assistants de codage qui s'y intègrent) ignorent effectivement le logiciel de base (IDE) dans leur modèle de menace. Ils considèrent leurs fonctionnalités comme intrinsèquement sûres car elles sont là depuis des années. Cependant, une fois que vous ajoutez des agents d'IA qui peuvent agir de manière autonome, les mêmes fonctionnalités peuvent être utilisées comme armes dans l'exfiltration de données et les primitives RCE. "

À la base, ces problèmes enchaînent trois vecteurs différents qui sont communs aux IDE basés sur l'IA :

  • Contourner les garde-fous d'un grand modèle de langage (LLM) pour détou...
    [Courte citation de 8% de l'article original]
Loading...