كشف تحقيق دام ستة أشهر في أدوات التطوير المدعومة بالذكاء الاصطناعي عن أكثر من ثلاثين ثغرة أمنية تسمح بتسريب البيانات، وفي بعض الحالات، تنفيذ التعليمات البرمجية عن بُعد. النتائج، الموضحة في تقرير بحثي IDEsaster، أظهر كيف يمكن التلاعب بوكلاء الذكاء الاصطناعي المضمنين في بيئة التطوير المتكاملة (IDEs) مثل Visual Studio Code ومنتجات JetBrains وZed والعديد من المساعدين التجاريين لتسريب معلومات حساسة أو تنفيذ تعليمات برمجية يتحكم فيها المهاجم.
وفقًا للبحث، كانت 100% من بيئات تطوير الذكاء الاصطناعي ومساعدي البرمجة التي تم اختبارها معرضة للخطر. تشمل المنتجات المتأثرة GitHub Copilot، وCursor، وWindsurf، وKiro.dev، وZed.dev، وRoo Code، وJunie، وCline، وGemini CLI، وClaude Code، مع ما لا يقل عن أربعة وعشرين من التهديدات الشائعة المعينة وإرشادات إضافية من AWS.
قال الباحث الأمني آري مرزوق، متحدثًا إلى “جميع بيئات تطوير الذكاء الاصطناعي… تتجاهل بشكل فعال البرنامج الأساسي… في نموذج التهديد الخاص بها. إنهم يتعاملون مع ميزاتهم على أنها آمنة بطبيعتها لأنها موجودة منذ سنوات. ومع ذلك، بمجرد إضافة عملاء الذكاء الاصطناعي الذين يمكنهم التصرف بشكل مستقل، يمكن استخدام نفس الميزات كسلاح في استخراج البيانات وبدائل RCE”. أخبار الهاكر.
ويخلص التقرير إلى أنه على المدى القصير، لا يمكن القضاء على فئة الضعف لأن بيئات التطوير المتكاملة الحالية لم يتم بناؤها وفقًا لما يسميه الباحث مبدأ “الآمن من أجل الذكاء الاصطناعي”. توجد إجراءات تخفيف لكل من المطورين وبائعي الأدوات، لكن الإصلاح طويل المدى يتطلب إعادة تصميم جذري لكيفية سماح بيئة التطوير المتكاملة لوكلاء الذكاء الاصطناعي بالقراءة والكتابة والتصرف داخل المشاريع.
يتبع أجهزة توم على أخبار جوجل، أو أضفنا كمصدر مفضل، للحصول على آخر الأخبار والتحليلات والمراجعات في خلاصاتك.
التعليقات