多款熱門 AI 輔助開發環境工具近期被發現存在安全漏洞,攻擊者可利用擴充套件推薦機制散布惡意軟體。受影響的工具包括從 Microsoft VSCode 分支而來的 Cursor、Windsurf、Google Antigravity 及 Trae 等產品。
問題根源:授權限制導致市場轉換
由於授權限制,這些 AI 輔助開發環境無法使用 VSCode 官方擴充套件商店,轉而採用開源替代方案 OpenVSX。然而,這些工具在分支過程中繼承了 VSCode 原有的推薦擴充套件清單。問題在於,這些清單硬編碼在設定檔中,仍然指向 Microsoft 的 Visual Studio Marketplace,而非 OpenVSX。
推薦機制分為兩種形式:一種是
檔案觸發式,當開發者開啟特定檔案(如 azure-pipelines.yaml)時,系統會自動推薦對應的擴充套件(如 Azure Pipelines);另一種是
軟體偵測式,系統偵測到開發者電腦上安裝的軟體(如 PostgreSQL)後,會推薦相應的擴充套件。
關鍵問題在於,並非所有推薦的擴充套件都存在於 OpenVSX 平台上,導致許多發布者的命名空間(Namespace)處於未註冊狀態。供應鏈安全公司 Koi 的研究人員指出,攻擊者可利用使用者對應用程式推薦功能的信任,註冊這些空缺的命名空間並上傳惡意擴充套件。
廠商回應與防護行動
研究團隊於 2025 年 11 月底向 Google、Windsurf 及 Cursor 回報此問題。Cursor 在 12 月 1 日率先修復漏洞。Google 於 12 月 26 日移除 13 個擴充套件推薦,並在 2026 年 1 月 1 日標記問題已解決。截至目前,Windsurf 尚未回應研究人員。
為防止惡意攻擊,Koi 研究團隊搶先註冊以下擴充套件的命名空間,並上傳無功能的佔位版本:
- ms-ossdata.vscode-postgresql
- ms-azure-devops.azure-pipelines
- msazurermtools.azurerm-vscode-tools
- usqlextpublisher.usql-vscode-ext
- cake-build.cake-vscode
- pkosta2005.heroku-command
這些佔位擴充套件雖無實際功能,但能有效阻擋供應鏈攻擊。研究團隊也與 OpenVSX 營運方 Eclipse Foundation 合作,驗證其他被參照的命名空間、移除非官方貢獻者,並實施更廣泛的註冊防護措施。
目前沒有證據顯示在 Koi 研究團隊發現並採取行動前,已有惡意攻擊者利用此漏洞。
建議使用 VSCode 分支版開發環境的使用者手動前往 OpenVSX 註冊平台,確認推薦擴充套件的來源,並檢查發布者是否為可信任的官方單位。
本文轉載自 BleepingComputer。