O GitHub Copilot, assistente de programação da Microsoft, esteve vulnerável a um ataque capaz de transformar uma ferramenta de produtividade em uma porta aberta para o controle total do sistema.
A falha, catalogada como CVE-2025-53773, foi corrigida no Patch Tuesday de agosto de 2025, mas antes disso permitia execução remota de código (RCE) em Windows, macOS e Linux, explorando um ponto fraco que muitos nem imaginavam: o próprio fluxo de interação com a IA.
Como a falha funcionava
O ataque explorava a capacidade do Copilot de modificar arquivos de configuração sem pedir aprovação ao usuário. O alvo principal era o arquivo .vscode/settings.json.
Com uma injeção de prompt cuidadosamente criada que podia estar escondida em um trecho de código, página web ou até em um GitHub issue o invasor convencia o Copilot a inserir a linha:
"chat.tools.autoApprove": trueIsso ativava o chamado “YOLO mode”, um recurso experimental que desativava todas as confirmações antes de o Copilot executar ações. A partir daí, a IA podia rodar comandos no terminal, abrir sites, manipular arquivos e interagir com o sistema sem qualquer supervisão.
O ataque seguia um roteiro perigoso: primeiro a injeção, depois a modificação silenciosa do arquivo e, em seguida, a execução irrestrita de comandos com privilégios totais.
O impacto real e as provas de conceito
Pesquisadores demonstraram que, com o YOLO mode ativo, era possível desde abrir a calculadora do sistema até estabelecer conexões de comando e controle para controle remoto.
E o problema não parava por aí também surgiram cenários de vírus de IA, capazes de se espalhar automaticamente por repositórios e infectar novos projetos conforme desenvolvedores interagiam com código contaminado.
Um dos exemplos mais preocupantes foi a criação de botnets ZombAI, onde estações de trabalho de desenvolvedores eram recrutadas para formar redes de máquinas controladas por invasores.
Mais que um único ponto de falha
Além do YOLO mode, a pesquisa revelou outras brechas:
- Manipulação do .vscode/tasks.json para executar tarefas maliciosas
- Injeção de servidores MCP maliciosos
- Uso de injeções invisíveis baseadas em Unicode, menos estáveis, mas ainda viáveis
Todas essas falhas exploravam a mesma fragilidade central: a permissão irrestrita para que o Copilot alterasse arquivos críticos de configuração.
Resposta da Microsoft
A vulnerabilidade foi reportada em 29 de junho de 2025 e confirmada pelo Microsoft Security Response Center.
O patch lançado em agosto agora exige aprovação do usuário para qualquer mudança de configuração que afete a segurança do sistema.
O pesquisador Markus Vervier, da Persistent Security, também identificou vulnerabilidades semelhantes de forma independente, reforçando que o problema não era teórico era replicável e crítico.
O que isso significa para o futuro do desenvolvimento assistido por IA
Essa falha deixa claro que, no mundo das ferramentas de desenvolvimento impulsionadas por IA, a segurança não pode ser tratada como um detalhe. Modelos como o Copilot têm acesso direto ao ambiente do programador, e isso os torna alvos estratégicos para ataques sofisticados.
Sem controles rígidos, um simples trecho de código malicioso pode se transformar em um vetor para controle total do sistema, furto de dados e até ataques em cadeia.
Ou seja caros leitores(a), IA no desenvolvimento é poderosa, mas deve operar com limites e supervisão constantes.
