Anatomia delle vulnerabilità AI IDE: 24 CVE, zero eccezioni
Ventiquattro CVE assegnati, trenta falle totali, il 100% dei prodotti testati bucati. Ari Marzouk, ricercatore Microsoft del team MaccariTA, ha impiegato sei mesi per documentare una classe di vulnerabilità AI IDE che ha chiamato IDEsaster — e il nome non è iperbole. Cursor, Copilot, Windsurf, Claude Code, Kiro, Zed, Roo Code, Junie, Cline, Gemini CLI: nessuno si salva. La catena di attacco è sempre la stessa: Prompt Injection → Agent Tools → funzionalità native dell'IDE. Chi ha seguito il doppio breach di Trivy via GitHub Actions riconosce lo schema: la supply chain non si spezza dove pensi.
La scoperta ribalta un assunto comodo. Non parliamo di un plugin malevolo da marketplace, né di un server mal configurato. Il vettore d'attacco è il coding assistant stesso — lo strumento che gira con i tuoi permessi, legge i tuoi .env, ha accesso SSH.
La catena di attacco, pezzo per pezzo
Marzouk la mette così: "Il fatto che catene di attacco universali abbiano colpito ogni singolo AI IDE testato è la scoperta più sorprendente di questa ricerca." Universali. Non exploit mirati a un vendor — pattern ripetibili su tutta la categoria.
Il meccanismo: un file di progetto avvelenato (README, commento nel codice, issue GitHub) inietta istruzioni nell'LLM. L'agente le esegue perché ha accesso a tool reali — terminale, filesystem, rete. A quel punto le funzionalità native dell'IDE diventano armi: lettura file arbitrari, esecuzione comandi, esfiltrazione dati. Nessuna sandbox. Nessun confine tra "suggerimento" e "azione".