¿Pensabas que Cursor solo escribe código? También puede robar secretos — si se le solicita correctamente.

Se han descubierto más de 30 vulnerabilidades en entornos de desarrollo populares con IA integrada, y todas permiten a atacantes, mediante una combinación de inyecciones de prompt y funciones estándar del IDE, robar datos sin ser detectados o ejecutar comandos de forma remota. El investigador Ari Marzuki (MaccariTA) llamó a la serie de fallos IDEsaster — y entre las herramientas afectadas están Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie y Cline. A 24 vulnerabilidades ya se les han asignado identificadores CVE.

Según el investigador, el hallazgo más sorprendente fue que las cadenas de ataque unificadas funcionaban literalmente en todos los AI-IDE probados. Los desarrolladores de asistentes y extensiones habían considerado durante años seguras las funciones integradas del IDE, pero la situación cambia cuando se añaden agentes de IA autónomos al ecosistema: los mecanismos habituales empiezan a actuar como herramientas para robar datos o ejecutar código arbitrario.

La esencia de las vulnerabilidades radica en la combinación de tres vectores típicos de los AI-IDE: la evasión de las protecciones de los LLM mediante inyecciones de prompt, la ejecución automática de acciones por parte de un agente sin intervención del usuario y el uso de capacidades legítimas del IDE para salir del perímetro de seguridad previsto. A diferencia de escenarios anteriores, donde las inyecciones de prompt se combinaban con herramientas vulnerables, IDEsaster utiliza funciones ordinarias del entorno de desarrollo para filtrar datos o ejecutar comandos.

Los atacantes pueden manipular el contexto de muchas maneras: insertar caracteres ocultos en texto o URL, falsificar datos a través del Protocolo de contexto del modelo (MCP), envenenar herramientas MCP o hacer que un servidor MCP legítimo procese datos externos maliciosos. El investigador encontró cadenas de ataque que permiten leer archivos secretos, crear archivos JSON con enlaces a recursos del atacante, cambiar la configuración del IDE, reconstruir configuraciones de trabajo y, finalmente, lograr la ejecución de código arbitrario. Es especialmente peligroso que muchos agentes de IA aprueben automáticamente cambios en los archivos del proyecto, lo que abre la puerta a un ataque sin ninguna intervención del usuario.

Marzuki recomienda usar los AI-IDE solo para proyectos de confianza, verificar cualquier fuente externa y URL en busca de instrucciones ocultas, conectarse únicamente a servidores MCP verificados y supervisar cuidadosamente su funcionamiento. A los desarrolladores les aconseja limitar las capacidades de las herramientas de LLM, minimizar los vectores de inyección de prompt, reforzar las instrucciones del sistema, aplicar entornos aislados y probar por separado la protección contra la evasión de rutas, las fugas de datos y la inserción de comandos.

Paralelamente aparecieron informes sobre otras vulnerabilidades en herramientas de desarrollo con IA. En OpenAI Codex CLI se detectó un error crítico que permite ejecutar comandos al iniciarse debido a la confianza ciega en la configuración MCP. En Google Antigravity se encontraron cadenas de ataque basadas en inyecciones de prompt indirectas que permiten robar credenciales o insertar una puerta trasera persistente. Y la nueva categoría de vulnerabilidades PromptPwnd demuestra cómo engañar a agentes de IA vinculados a CI/CD y obligarlos a realizar acciones privilegiadas.

Todos estos hallazgos subrayan que los agentes de IA amplían considerablemente la superficie de ataque: los modelos no distinguen entre instrucciones reales del usuario y fragmentos maliciosos que entraron en el contexto de forma inadvertida. Como señaló el investigador Rein Daalman, esto crea la amenaza de fugas de secretos, la inserción de comandos y la compromisión de repositorios para cualquier proyecto que use IA para automatizar tareas.

Marzuki considera que estos casos muestran la necesidad de un nuevo enfoque de seguridad —el paradigma Secure for AI— que tiene en cuenta cómo los componentes de IA pueden ser utilizados en un ataque a lo largo de todo el ciclo de vida del producto.