GitHub Copilot与Visual Studio漏洞可致攻击者绕过安全防护功能

微软披露了GitHub Copilot和Visual Studio中存在的两个高危安全漏洞，攻击者可利用这些漏洞绕过关键安全防护机制。这两个漏洞均于2025年11月11日公开，被评定为"重要"风险等级。

Part01

Visual Studio路径遍历漏洞

首个漏洞编号为（CVE-2025-62449），源于路径名处理机制存在缺陷，属于路径遍历漏洞（CWE-22）。该漏洞可使攻击者访问本地系统受限区域之外的文件和目录。

该漏洞 CVSS 评分为 6.8 分，攻击复杂度较低，攻击者需具备有限权限的本地访问权限。虽然需要用户交互才能触发漏洞，但一旦被利用，将导致高机密性和完整性影响，以及有限的可用性影响。

由于攻击媒介为本地方式，攻击者必须已具备一定程度的系统访问权限。值得注意的是，Visual Studio 作为主流开发环境，该漏洞可能导致敏感源代码和配置文件面临未授权访问风险。

Part02

第二个漏洞（CVE-2025-62453）涉及生成式AI输出验证不当（CWE-1426）及保护机制失效（CWE-693），专门影响GitHub Copilot的AI生成代码建议功能。该漏洞CVSS评分为5.0分，攻击者可能通过操纵AI输出来绕过安全检查或注入恶意代码建议。

该漏洞尤其值得警惕，因为开发者往往未经严格审查就直接采纳AI助手的代码建议。攻击者可利用此漏洞通过被篡改的代码建议，在项目中植入后门或安全缺陷。虽然这两个漏洞都需要用户交互和本地系统访问权限，但对开发团队而言风险重大。

微软已通过官方CVE渠道发布补丁，使用GitHub Copilot和Visual Studio的开发者应立即更新。此次漏洞披露凸显了AI辅助开发工具日益突出的安全问题，以及实施前验证生成代码的重要性。

建议各组织审查其AI代码生成工具相关的开发实践和安全策略。开发团队应查阅微软官方安全公告获取可用补丁，并对所有AI生成的代码建议实施严格的代码审查流程。

参考来源：

GitHub Copilot and Visual Studio Vulnerabilities Allow Attacker to Bypass Security Feature

https://cybersecuritynews.com/github-copilot-and-visual-studio-vulnerabilities/

推荐阅读