Se ha descubierto una vulnerabilidad de seguridad crítica en GitHub Copilot y Visual Studio Code que permite a los atacantes lograr la ejecución del código remoto a través de ataques de inyección inmediatos, lo que puede conducir al compromiso completo del sistema de las máquinas de los desarrolladores.
La vulnerabilidad, rastreada como CVE-2025-53773, explota la capacidad de GitHub Copilot para modificar los archivos de configuración del proyecto, particularmente el archivo .vscode/settings.json, lo que permite a los atacantes evitar los controles de seguridad y ejecutar comandos arbitrarios en los sistemas de destino.
Control de llave
1. CVE-2025-53773 utiliza inyección rápida para habilitar el “modo Yolo” de Copilot.
2. Crea la botnet “zombais”, propaga los virus de IA a través de Git.
3. Actualizar Visual Studio 2022 de inmediato.
Vulnerabilidad de GitHub Copilot “Mode Yolo”
La vulnerabilidad se centra en la capacidad de GitHub Copilot para crear y escribir archivos en el espacio de trabajo sin aprobación explícita del usuario, con modificaciones inmediatamente persistentes al disco en lugar de presentarse como diferencias revisables.
Los investigadores de seguridad descubrieron que al manipular el archivo .vscode/settings.json, los atacantes pueden habilitar lo que se conoce como “modo Yolo” agregando la línea de configuración “chat.tools.autoapprove”: verdadero.
Esta característica experimental, presente de forma predeterminada en las instalaciones estándar de código VS, deshabilita todas las confirmaciones del usuario y otorga el acceso sin restricciones del agente de IA para ejecutar comandos de shell, navegar por la web y realizar otras operaciones privilegiadas en sistemas Windows, MacOS y Linux.
El mecanismo de ataque se basa en técnicas de inyección rápida donde las instrucciones maliciosas están integradas en archivos de código fuente, páginas web, problemas de GitHub u otro contenido que procesa el copiloto.
Estas instrucciones pueden incluso utilizar caracteres Unicode invisibles para permanecer ocultos a los desarrolladores mientras aún están procesados por el modelo AI.
El mensaje malicioso se procesa, Copilot modifica automáticamente el archivo de configuración para habilitar el modo de aprobación automática, escalando inmediatamente sus privilegios sin conocimiento o consentimiento del usuario.
Los investigadores demostraron con éxito técnicas de inyección rápida condicional que pueden dirigirse a sistemas operativos específicos, lo que permite a los atacantes implementar cargas útiles específicas de la plataforma.
Control total del host del desarrollador
La vulnerabilidad permite a los atacantes unirse a las máquinas de desarrolladores comprometidas a Botnets, creando lo que los investigadores llaman “zombais”-sistemas comprometidos controlados por IA que pueden ser remotamente comandados.
Más preocupante es el potencial para crear virus de IA autopropagantes que pueden incrustar instrucciones maliciosas en repositorios de GIT y propagarse a medida que los desarrolladores se descargan e interactúan con el código infectado.
La vulnerabilidad también permite la modificación de otros archivos de configuración críticos, como .vscode/tareas.json, y la adición de servidores MCP (protocolo de contexto del modelo), ampliando significativamente la superficie de ataque.
Estas capacidades abren la puerta para el despliegue de malware, ransomware, robos de información y el establecimiento de canales persistentes de comando y control.
Factores de riesgo Los productos afectados por el riesgo Copilot Copilot- Código de estudio Visual- Microsoft Visual Studio 2022ImpACTRemote Código ExecutionExPloit Prerrequisitos- Interacción del usuario requerida (UI: R)- Vector de ataque local (AV: L) Mecanismo de inyección de indicación: el objetivo debe procesar el contenido malicioso CVSS 3.1 Puntuación7.8 (Alto)
Mitigaciones
Microsoft asignó esta vulnerabilidad un puntaje CVSS 3.1 de 7.8/6.8, clasificándolo como una gravedad “importante” con la debilidad categorizada como CWE-77 (neutralización incorrecta de elementos especiales utilizados en un comando).
La vulnerabilidad se divulgó responsablemente el 29 de junio de 2025, y Microsoft confirmó que el problema ya estaba siendo rastreado internamente antes de lanzar parches como parte de la actualización del martes del parche de agosto de 2025.
La corrección aborda el problema central al evitar que los agentes de IA modifiquen los archivos de configuración relevantes para la seguridad sin la aprobación explícita del usuario.
Microsoft Visual Studio 2022 versión 17.14.12 incluye la actualización de seguridad que mitiga esta vulnerabilidad.
Los expertos en seguridad recomiendan que las organizaciones actualicen inmediatamente sus entornos de desarrollo e implementen controles adicionales para evitar que los agentes de IA modifiquen sus propias configuraciones de configuración.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
