Một nghiên cứu bảo mật mang tính đột phá đã phát hiện ra một lớp lỗ hổng mới có tên “IDEsaster,” cho phép thực thi mã từ xa và rò rỉ dữ liệu trong hầu hết mọi môi trường phát triển tích hợp và công cụ hỗ trợ lập trình sử dụng AI, bao gồm các sản phẩm hàng đầu như GitHub Copilot, Gemini CLI, và Claude Code. Chuỗi tấn công phức tạp này đã khai thác hơn 30 lỗ hổng riêng biệt, phơi bày một mô hình mối đe dọa bị bỏ sót: các tính năng IDE cũ, vốn an toàn khi dùng bởi con người, trở nên nguy hiểm khi bị điều khiển bởi các AI Agent tự động dưới ảnh hưởng của kẻ tấn công.

Nghiên cứu được thực hiện trong hơn sáu tháng đã xác định 24 CVEs và thúc đẩy các cảnh báo bảo mật từ các nhà cung cấp lớn như AWS. Điểm đáng chú ý là 100% các IDE AI và công cụ hỗ trợ code được thử nghiệm đều bị phát hiện là dễ bị tổn thương.

Chuỗi tấn công IDEsaster diễn ra qua ba giai đoạn liên tiếp: Prompt Injection → Tools → Base IDE Features.

1. Tiêm nhiễm Prompt: Kẻ tấn công đầu tiên giành quyền kiểm soát ngữ cảnh của AI Agent bằng cách sử dụng các vectơ tiêm nhiễm tinh vi, bao gồm các tệp quy tắc độc hại, MCP servers, deeplinks hoặc thậm chí là tên tệp.
2. Kích hoạt Tools: Sau khi bị tiêm nhiễm, AI Agent sẽ sử dụng các tools của nó để thực hiện các hành động kích hoạt các tính năng nền tảng của IDE.
3. Khai thác tính năng IDE cơ bản: Các tính năng lâu đời của IDE, vốn được thiết kế cho người dùng, bị khai thác để đạt được mục tiêu cuối cùng là rò rỉ dữ liệu hoặc thực thi mã từ xa.

Một nhà nghiên cứu bảo mật cho biết: “Các IDE AI đã bỏ qua phần mềm IDE cơ bản như một phần của mô hình mối đe dọa, cho rằng nó vốn dĩ an toàn. Tuy nhiên, khi bạn thêm các AI Agent có khả năng hành động tự động, các tính năng kế thừa tương tự có thể bị vũ khí hóa”.

Các kịch bản tấn công nghiêm trọng

Nghiên cứu đã chỉ ra ba kịch bản tấn công chính minh họa mức độ nghiêm trọng của lỗ hổng:

• Remote JSON Schema attacks: Ảnh hưởng đến Visual Studio Code, JetBrains IDEs, và Zed.dev. Lỗ hổng này cho phép kẻ tấn công tự động kích hoạt các GET requests tới các domain do chúng kiểm soát, từ đó đánh cắp dữ liệu.
• IDE Settings Overwrite: Cho phép kẻ tấn công thực thi mã tùy ý từ xa bằng cách thao túng các tệp cấu hình IDE, chẳng hạn như tệp .vscode/settings.json.
• Multi-Root Workspace Settings: Trong Visual Studio Code, tính năng này cung cấp thêm bề mặt tấn công bằng cách cho phép thao túng cấu hình workspace để vượt qua các kiểm soát bảo mật.

Nguyên tắc bảo mật “Secure for AI”

Các nhà cung cấp đã nhanh chóng hành động. GitHub Copilot đã vá nhiều lỗ hổng, bao gồm CVE-2025-53773. Cursor đã nhận các bản vá cho CVE-2025-49150. Tuy nhiên, một số nhà cung cấp như Claude Code chọn giải quyết rủi ro bằng cách đưa ra cảnh báo bảo mật trong tài liệu thay vì thay đổi mã nguồn.

Nghiên cứu này cũng đặt nền móng cho một nguyên tắc bảo mật mới gọi là “Secure for AI,” mở rộng nguyên tắc “secure-by-design” để tính đến các thành phần AI một cách rõ ràng.

Để tự bảo vệ, các nhà phát triển được khuyến nghị chỉ nên sử dụng các IDE AI với các dự án đáng tin cậy, cấu hình xác minh con người can thiệp nếu được hỗ trợ, và cẩn thận sàng lọc MCP servers.