Mais de 30 falhas em assistentes de programação com IA permitem roubo de dados

dezembro 8, 2025
assistente de programação, proteção de dados, resumo-2025-12-08, resumo-ai, segurança cibernética, Segurança de Sistemas, tecnologia, Vulnerabilidades em IA

Vulnerabilidades em Assistentes de Programação com IA

Um pesquisador de segurança identificou mais de 30 vulnerabilidades em Ambientes Integrados de Desenvolvimento (IDEs) que utilizam inteligência artificial para assistência. Essas falhas permitem que agentes maliciosos realizem injeção de prompt através de ferramentas legítimas do sistema, possibilitando o roubo de dados e a execução de código remotamente.

As vulnerabilidades, conhecidas como “IDEsaster”, afetam programas e extensões populares, como Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie e Cline, entre outros. Dessas, 24 receberam identificadores CVE para acompanhamento do problema e de sua resolução.

Como as Vulnerabilidades Funcionam

Segundo o pesquisador, as IAs de IDE e os assistentes de programação integrados ignoram o software de base (IDE) no seu modelo de ameaça. Isso ocorre porque as IDEs consideram suas ferramentas como inerentemente seguras, pois estão estabelecidas há anos. No entanto, quando um agente de IA com autonomia é adicionado, essas ferramentas podem ser exploradas e usadas maliciosamente.

Existem três vetores diferentes utilizados para explorar essas vulnerabilidades: contorno das defesas de LLMs para sequestrar o contexto e injetar prompts, execução de ações sem precisar da interação de usuários via chamadas de ferramenta autoaprovadas de um agente de IA, e uso das ferramentas legítimas de uma IDE para permitir que o hacker escape de limitações de segurança e roube dados.

Recomendações para a Proteção

Para se proteger dessas vulnerabilidades, o pesquisador recomenda que os usuários utilizem IDEs e agentes de IA apenas em projetos e arquivos confiáveis. Além disso, é importante:

Conectar apenas a servidores confiáveis e monitorá-los em busca de modificações constantes.
Revisar e entender o fluxo de dados de suas ferramentas.
Revisar manualmente as fontes adicionadas, como as por URL, em busca de instruções escondidas.

É fundamental estar ciente dessas vulnerabilidades e tomar medidas para proteger seus dados e sistemas. A segurança cibernética é um tema cada vez mais importante, e a conscientização sobre esses riscos pode ajudar a prevenir ataques maliciosos.

Este conteúdo pode conter links de compra.

Fonte: link