AI開発ツールを揺るがす「IDEsaster」の脅威
GitHub Copilot、Gemini CLI、Claudeなど、主要なAI搭載統合開発環境(IDE)およびコーディングアシスタントに、新たなクラスの重大な脆弱性が発見されました。「IDEsaster」と名付けられたこの攻撃チェーンは、基盤となるIDEプラットフォームの根本的な機能を悪用し、データ流出やリモートコード実行を引き起こします。これにより、世界中の数百万人の開発者が影響を受ける可能性があります。
6ヶ月間にわたる画期的なセキュリティ研究プロジェクトにより、GitHub Copilot、Cursor、Windsurf、Kiro.dev、Zed.dev、Roo Code、JetBrains Junie、Cline、Gemini CLI、Claude Codeなど、10を超える市場をリードする製品で30以上の個別のセキュリティ脆弱性が特定されました。これらの発見により、24のCVEが割り当てられ、AWSを含む主要ベンダー(AWS-2025-019)からセキュリティアドバイザリが発行されています。
「IDEsaster」攻撃チェーンのメカニズム
「IDEsaster」攻撃は、以前に開示された特定のアプリケーションコンポーネントを標的とする脆弱性とは異なり、ベースとなるIDEレイヤー自体の機能を悪用します。この根本的なアプローチにより、人気のあるIDEと統合しているテスト済みのAI IDEおよびコーディングアシスタントの100%がこの新しい攻撃チェーンに対して脆弱であることが判明しました。
この斬新な攻撃チェーンは、以下の3段階で進行します。
- プロンプトインジェクション:攻撃者は、悪意のあるルールファイル、MCPサーバー、ディープリンク、またはファイル名を含む様々なプロンプトインジェクション経路を通じてコンテキストを乗っ取ります。
- ツール:AIエージェントのツールが悪用され、基盤となるIDE機能がトリガーされます。
- 基本IDE機能:最終的に、基本IDE機能が悪用され、情報漏洩またはコマンド実行が達成されます。
この発見の背後にあるセキュリティ研究者は、「AI IDEは、長年存在しているため本質的に安全であると仮定し、ベースとなるIDEソフトウェアを脅威モデルの一部として事実上無視していました。しかし、自律的に動作できるAIエージェントが追加されると、同じレガシー機能が武器化される可能性がある」と説明し、脅威モデルが再定義されたことを強調しました。
露呈した主要な脆弱性
3つの主要なケーススタディが、「IDEsaster」脆弱性の深刻さを示しています。
- リモートJSONスキーマ攻撃:Visual Studio Code、JetBrains IDEs、Zed.devに影響を与え、攻撃者制御下のドメインへのGETリクエストを自動的にトリガーすることでデータ流出を可能にします。
- IDE設定上書き脆弱性:.vscode/settings.jsonや.idea/workspace.xmlのような設定ファイルを操作することで、リモートコード実行が可能になります。
- マルチルートワークスペース設定:Visual Studio Codeで、ワークスペース設定を操作することでセキュリティ制御を回避する追加の攻撃経路を提供します。
ベンダーの対応と「Secure for AI」原則
各ベンダーは既に脆弱性への対応を進めています。
- GitHub Copilotは、CVE-2025-53773およびCVE-2025-64660を含む複数の脆弱性に対処しました。
- Cursorは、CVE-2025-49150、CVE-2025-54130、CVE-2025-61590のパッチを受け取りました。
- Kiro.devやRoo Codeを含む他の影響を受けた製品も修正を発行しています。
- Claude Codeは、コード変更ではなく、ドキュメント内のセキュリティ警告を通じてリスクに対処することを選択しました。
この研究は、AIコンポーネントを明示的に考慮する新しいセキュリティ原則「Secure for AI」を導入しています。開発者は、信頼できるプロジェクトでのみAI IDEを使用し、サポートされている場合は人間による検証(human-in-the-loop)を構成し、MCPサーバーを慎重に精査することが推奨されます。
製品メンテナーは、機能スコープツールを実装し、IDE機能に攻撃ベクトルがないか継続的に監視し、プロンプトインジェクションが常に可能であると想定し、サンドボックス化とエグレス制御を展開すべきであると提言されています。
AIと開発ツールの未来における課題
AI機能がソフトウェア開発ツール全体に拡大するにつれて、人間ユーザー向けに設計されたレガシー機能が、敵対的な影響下で自律的に動作するAIエージェントにアクセスされると危険になりうることが浮き彫りになりました。この発見は、AIが進化する現代において、セキュリティの再考が不可欠であることを示しています。