一项针对AI开发工具的研究揭示，多款主流AI集成开发环境（IDE）与编程助手存在超过30项安全漏洞，可能被用于窃取项目数据，甚至在开发者计算机上执行任意代码。安全研究人员Ari Marzuk将此类问题统称为IDEsaster，指出所有被测试的AI IDE和集成式编程助手均可被这一攻击链利用，涉及GitHub Copilot、Cursor、Windsurf、Kiro.dev、Zed.dev、Roo Code、Junie、Cline、Gemini CLI与Claude Code等多款产品。目前已有24项漏洞获得CVE编号，AWS也发布了安全公告AWS-2025-019予以回应。

Ari Marzuk表示，传统IDE在设计时并未预见到后续会嵌入能够自动读写文件和配置的AI代理，导致原本被视为安全的IDE内置功能，在AI介入后成为新的攻击面。AI代理在开发流程中可访问项目文件、配置文件和外部服务，一旦遭受提示注入攻击，便可能利用合法工具操作，进一步触发底层IDE功能，最终导致数据泄露或远程代码执行。

IDEsaster是一条跨工具通用的攻击链，第一步是在规则文件、README、源代码注释、文件名或外部MCP服务器响应中植入隐藏指令，劫持AI代理所感知的工作上下文。第二步是让代理通过读写文件或修改配置等工具，执行看似正常的操作。第三步则利用VS Code、JetBrains系列、Zed等IDE长期存在的功能，借助自动加载配置、验证或外部资源的机制，将前述更改转化为实际的外连请求或可执行文件调用。

Ari Marzuk举例指出，在多家IDE中，只要项目中存在引用远程JSON Schema的配置，IDE在加载文件时便会自动发起HTTP请求。若AI代理先收集敏感信息，再写入包含攻击者域名与参数的JSON配置，IDE将在开发者毫无察觉的情况下，将数据一并发送，形成数据泄露风险。另一类漏洞与IDE配置相关，攻击者可通过AI代理修改验证工具或Git路径等设置，使IDE在执行文件检查或版本控制操作时，实际调用的是被篡改的本地可执行文件，从而实现远程代码执行。

Ari Marzuk提出“AI安全设计”原则以应对这类结构性风险，主张在设计阶段即考虑安全，遵循“默认安全”理念，系统应始终假设AI代理随时可能遭受提示注入攻击，采用零信任架构，仅允许工具在明确且受限的资源范围内运行。对于修改IDE配置、启用新MCP服务器、发起外部连接等敏感操作，必须强制实施人机确认机制，并配合沙箱执行与网络出口管控措施。