2025/12/08 CyberSecurityNews — AI 駆動型 IDE (Integrated Development Environment) の登場により、ソフトウェア開発環境は根本的に変化した。GitHub Copilot/Gemini CLI/Claude Code などのツールは、単純な自動補完エンジンから、タスクを実行する自律エージェントへと進化した。しかし、生産性の急速な追求がセキュリティ・ギャップを生み出している。本来は自律性を想定して設計されていないレガシー IDE アーキテクチャを、それぞれのベンダーがエージェントに直接統合したことで、図らずも攻撃対象領域が拡大されてしまった。それを IDEsaster と呼ぶ。
この新たな脆弱性クラスは、Visual Studio Code/JetBrains などのベース IDE の基盤機能と、AI エージェントとの間の相互作用を悪用するものだ。
特定ツールの欠陥に起因する従来の脆弱性とは異なり、この攻撃チェーンは、コンフィグ・ファイルやワークスペース設定といった IDE の機能を介して悪意のアクションを実行する。
つまり、これらの基本要素を操作する攻撃者は、標準のセキュリティ境界を回避し、正規かつ有用な機能を、データ窃取やリモートコード実行のベクターへと変貌させる。
.webp)
MaccariTA のセキュリティ・アナリストたちは、AI コーディング・アシスタントのセキュリティ体制に関する広範な調査の結果として、この憂慮すべき傾向を特定した。
この調査により明らかになったのは、テスト対象アプリケーションの 100% が、この新種の攻撃に対して脆弱であることだ。
その影響力は大きい。市場をリードする製品において 30 件以上の脆弱性が報告され、24件に CVE が割り当てられた。
この発見を受け、AWS を含む主要ベンダーは直ちにセキュリティ・アドバイザリを発行し、その脅威の深刻さを世界中の開発者たちに示した。
IDE 設定の上書きによるリモートコード実行
IDEsaster の最も深刻な事例は、IDE コンフィグ・ファイルの操作によりリモートコード実行 (RCE) を実現する点である。
このシナリオでは、攻撃者がプロンプト・インジェクションを用いて AI エージェントを騙し、Visual Studio Code の “.vscode/settings.json” や JetBrains IDE の “.idea/workspace.xml” といったコア設定ファイルを変更させる。
この攻撃手法の標的が、エージェント固有の設定ではなく IDE のグローバル設定である点が、従来のエクスプロイトと異なる。
たとえば Visual Studio Code では、攻撃者がエージェントに Git フック・サンプルのような無害に見えるファイルを書き換えさせ、悪意コードを挿入させる可能性がある。
その後に、エージェントに対して指示されるのは、この新たに作成された実行ファイルを、”php.validate.executablePath” 設定で指すように変更することだ。
“php.validate.executablePath”: “/absolute/path/to/.git/hooks/pre-commit.sample”
.webp)
この設定が有効化されると、プロジェクト内で PHP ファイルを作成するだけで IDE が悪意のパスを実行するため、攻撃者により制御が迅速に奪取されてしまう。この手法は、IDE 自身の検証機能を、ユーザーに対する武器にするものである。
脆弱性一覧
以下に示すのは、IDEsaster 脆弱性クラスの調査中に特定された脆弱性および CVE の統合表である。
| Product | Vulnerability Type | CVE / Status |
|---|---|---|
| GitHub Copilot | Remote JSON Schema | Fixed (No CVE) |
| GitHub Copilot | IDE Settings Overwrite | CVE-2025-53773 |
| GitHub Copilot | Multi-Root Workspace Settings | CVE-2025-64660 |
| Cursor | Remote JSON Schema | CVE-2025-49150 |
| Cursor | IDE Settings Overwrite | CVE-2025-54130 |
| Cursor | Multi-Root Workspace Settings | CVE-2025-61590 |
| Roo Code | Remote JSON Schema | CVE-2025-53097 |
| Roo Code | IDE Settings Overwrite | CVE-2025-53536 |
| Roo Code | Multi-Root Workspace Settings | CVE-2025-58372 |
| Zed.dev | IDE Settings Overwrite | CVE-2025-55012 |
| JetBrains Junie | Remote JSON Schema | CVE-2025-58335 |
| Kiro.dev | Remote JSON Schema | Fixed (No CVE) |
| Kiro.dev | IDE Settings Overwrite | Fixed (No CVE) |
| Claude Code | Remote JSON Schema | Acknowledged (Warning Added) |
| Claude Code | IDE Settings Overwrite | Acknowledged (Warning Added) |
AI 駆動型 IDE における便利さの追求が、思いもよらぬ脆弱性を生んでしまいました。特に問題となっているのは、もともと自律エージェントの利用を前提としていない IDE に、AI 機能が直接組み込まれたことで、設定ファイルやワークスペースといった基盤部分が攻撃の入口になってしまう構造です。こうした仕組みが悪用されると、無害に見える操作から RCE につながるリスクが発生するため、開発環境が攻撃対象になり得ると、この記事は指摘しています。よろしければ、AI Agent での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.