Microsoft ha lanzado un parche de seguridad para una vulnerabilidad crítica en GitHub Copilot, identificada como CVE-2025-53773. Esta falla permitía a los atacantes lograr la ejecución remota de código (RCE) y comprometer completamente los sistemas de los usuarios a través de una técnica de inyección de código. La vulnerabilidad fue corregida en la actualización de seguridad de agosto de 2025, tras una divulgación responsable por parte de investigadores.
Cómo funcionaba el ataque
La vulnerabilidad explotaba la capacidad de GitHub Copilot para modificar archivos del proyecto sin la aprobación del usuario, en particular el archivo de configuración .vscode/settings.json. Un atacante podía inyectar código malicioso en archivos de código fuente, páginas web o problemas de GitHub para manipular a Copilot y que este agregara la línea "chat.tools.autoApprove": true al archivo de configuración.
Al activar esta configuración experimental (apodada «modo YOLO»), Copilot deshabilitaba todas las confirmaciones de usuario para sus operaciones. Esto permitía que la IA ejecutara comandos de shell, navegara por la web y realizara otras acciones privilegiadas sin supervisión, comprometiendo por completo el sistema.
Los investigadores de seguridad demostraron que este ataque podía afectar a sistemas Windows, macOS y Linux, logrando acciones como abrir aplicaciones e incluso establecer conexiones remotas de comando y control.
Impacto y vectores de ataque
Más allá de la ejecución básica de comandos, los investigadores identificaron vectores de ataque más sofisticados. Por ejemplo, la vulnerabilidad podía ser utilizada para crear virus de IA que se propagaban a través de repositorios infectados. También era posible reclutar estaciones de trabajo de desarrolladores en botnets, creando redes de sistemas comprometidos, que los investigadores llamaron «ZombAI».
Además de la inyección de código en .vscode/settings.json, se descubrieron vulnerabilidades adicionales relacionadas con la manipulación de .vscode/tasks.json y la inyección maliciosa en el servidor MCP, aprovechando la capacidad de Copilot para modificar archivos sin restricciones.
Respuesta de Microsoft
Microsoft confirmó la vulnerabilidad y la corrigió en la actualización de seguridad de agosto de 2025. El parche aborda el problema principal de la modificación de archivos sin restricciones al requerir que el usuario apruebe cualquier cambio de configuración que pueda afectar la seguridad. El descubrimiento de la falla fue acreditado a investigadores de seguridad, incluyendo a Markus Vervier de Persistent Security, quien informó hallazgos similares.
Este incidente subraya los desafíos de seguridad que surgen con las herramientas de desarrollo basadas en IA y la necesidad de establecer modelos de permisos robustos para este tipo de sistemas.
