人気のAI搭載開発環境において30件以上の脆弱性が発見されており、そのすべてが、プロンプトインジェクションと正規のIDE機能を組み合わせることで、攻撃者にデータのサイレントな持ち出しやリモートコマンド実行を許してしまう。研究者のAri Marzuki(MaccariTA)は、これらの問題群をIDEsasterと名付けており、影響を受けるツールには、Cursor、Windsurf、Kiro.dev、GitHub Copilot、Zed.dev、Roo Code、Junie、Clineなどが含まれる。これらの脆弱性のうち24件にはすでにCVE識別子が割り当てられている。
研究者によれば、最も衝撃的だったのは、ほぼすべてのAI IDEで同一の攻撃チェーンが機能したことだという。長年にわたり、アシスタントや拡張機能の開発者は、IDEに組み込まれた機能は本質的に安全だと想定してきたが、自律的なAIエージェントがエコシステムに導入された瞬間に、その前提は崩れ去る。かつては無害とみなされていたメカニズムが、突如としてデータ窃取や任意コード実行のための道具となり得るのだ。
これらの脆弱性の中核には、AI IDEに共通する3つの攻撃ベクターの収束がある。すなわち、プロンプトインジェクションによるLLMセーフガードの回避、ユーザー関与なしに自動で実行されるエージェント主導のアクション、そして想定されたセキュリティ境界からの脱出に正規のIDE機能を悪用することだ。従来のシナリオでは、プロンプトインジェクションが効果を発揮するには脆弱なツールが必要だったが、IDEsasterでは、一般的な開発環境の機能を流用してデータ漏えいやコマンド実行を実現している。
攻撃者はさまざまな方法でコンテキストを汚染できる。テキストやURLに不可視文字を挿入する、Model Context Protocol(MCP)を通じてデータを操作する、MCPツールを汚染する、あるいは正規のMCPサーバーをだまして悪意ある外部コンテンツを処理させるなどだ。Marzukiは、機密ファイルの読み取り、攻撃者が制御するリソースを指すJSONファイルの生成、IDE設定の変更、設定ファイルの再構築、そして最終的には任意コマンド実行を可能にする攻撃チェーンを発見した。特に危険なのは、多くのAIエージェントがプロジェクトファイルへの変更を自動承認してしまう点であり、ユーザーの一切の操作なしに侵害へと至る経路を開いてしまうことである。
Marzukiは開発者に対し、AI IDEは信頼できるプロジェクトにのみ使用し、外部ソースやURLに隠された命令がないか厳しく精査し、検証済みのMCPサーバーのみに接続し、その挙動を綿密に監視するよう助言している。さらにツール開発者に対しては、LLMの能力を制限し、プロンプトインジェクションの経路を最小化し、システムプロンプトを強化し、サンドボックスを徹底し、パストラバーサル、データ漏えい、コマンドインジェクションの各シナリオに対する防御を厳格にテストすることを推奨している。
他のAI搭載開発ツールについても、追加の情報開示が行われている。OpenAIのCodex CLIには、MCP設定を無条件に信頼してしまうことにより、起動時にコマンド実行を許してしまう重大な欠陥が存在する。GoogleのAntigravityでは、認証情報の窃取や永続的バックドアの埋め込みが可能な間接的プロンプトインジェクションチェーンが見つかった。PromptPwndと呼ばれる新たなクラスの脆弱性は、CI/CDと連携したAIエージェントが、だまされて特権操作を実行してしまう可能性を示している。
これらの知見を総合すると、AIエージェントが攻撃面をどれほど劇的に拡大するかが浮き彫りになる。モデルは、ユーザーの本当の意図と、コンテキストにひそかに織り込まれた悪意ある断片とを確実に区別することができない。研究者のRein Daelmanが指摘するように、これは、開発タスクの自動化にAIを用いるあらゆるプロジェクトにおいて、秘密情報の漏えい、コマンドインジェクション、リポジトリ侵害の広範なリスクを生み出している。
Marzukiは、これらの事例は「Secure for AI」と呼ぶべき新たなセキュリティパラダイムの緊急性を示していると結論づけている。これは、製品ライフサイクル全体を通じて、AIコンポーネントそのものがどのように兵器化され得るかを前提にしたアプローチである。
