如果有一天,你打开写代码的工具,它主动弹窗告诉你:
「建议安装这个官方插件」
你会怀疑吗?
大多数人不会。而正是这个“理所当然的信任”,差点让数百万开发者的电脑变成攻击入口。
___________________________________________________________________
这不是黑客高端攻击,也不是 0day。而是主流 AI IDE 在“推荐不存在的插件”,任何人都能抢注名字、上传恶意代码。
而且——你根本不需要被钓鱼、不需要点奇怪链接,只要“听 IDE 的话”,风险就自动进门。
___________________________________________________________________
一、这事到底发生了什么?
最近,安全研究人员发现一个非常反直觉的问题:
一些当前最火的 AI 编程工具,会“官方推荐”一些——根本不存在的插件。
VSCode IDE 分支会使用户面临
这些工具包括:
Cursor
Windsurf
Google Antigravity
Trae
它们都有一个共同点:
它们都不是微软的 VS Code,而是“从 VS Code 分支出来的 AI IDE”。
___________________________________________________________________
二、为什么“分支”会变成安全问题?
我们先用一句人话解释。
VS Code 原版是这样工作的:
插件来自 微软官方插件市场
插件名字、作者、命名空间都被管得很严
AI IDE 分支版的问题是:
不能用微软的插件市场(许可证不允许)
只能改用一个叫 OpenVSX 的开源插件市场
VSCode IDE 分支会使用户面临
但问题来了:
👉 它们在分支时,继承了 VS Code 里“写死的官方推荐插件列表”👉 这些推荐指向的是 微软市场里的插件👉 而这些插件,并不一定存在于 OpenVSX
___________________________________________________________________
三、危险点出现了:推荐了“不存在的插件”
IDE 的推荐是“主动弹出来的”,不是你搜索的。
而且分两种情况:
🧩 情况一:你打开了某种文件
比如:
打开 azure-pipelines.yaml
IDE 弹窗说:
「建议安装 Azure Pipelines 插件」
🧩 情况二:IDE 检测到你装了某个软件
比如:
你电脑上有 PostgreSQL
IDE 自动推荐:
「建议安装 PostgreSQL 插件」
⚠️ 问题在于:
这些插件在 OpenVSX上并不存在
它们的发布者命名空间是空的
任何人都可以抢注
___________________________________________________________________
四、如果我是攻击者,会发生什么?(重点)
我们假设一个非常现实的场景:
攻击者看到IDE推荐:ms-ossdata.vscode-postgresql
发现OpenVSX上这个命名空间 没人用
直接注册
上传一个“看起来正常”的插件
接下来会发生什么?
👉 所有使用这些 AI IDE、且电脑装了 PostgreSQL 的开发者👉 都会看到 IDE 弹窗:
「推荐安装 PostgreSQL 插件」
而且这是 IDE 官方推荐。
___________________________________________________________________
五、为什么这一步几乎没人会防备?
因为这几个条件同时成立:
❌ 没有钓鱼邮件
❌ 没有恶意链接
❌ 没有下载可疑 exe
❌ 没有越权操作
只有一件事:
你“相信了你的 IDE”。
研究人员甚至上传了完全没有功能的占位插件:
结果是:
仍然有超过 1000 名开发者安装了它们。
VSCode IDE 分支会使用户面临
仅仅因为:IDE 推荐了。
___________________________________________________________________
六、如果这不是白帽,会有多严重?
如果上传的不是占位插件,而是恶意插件:
可以读取源码
可以读取 .env(云密钥、Token)
可以读取 SSH Key
可以悄悄联网回传数据
而这一切:
不需要提权
不需要 exploit
不需要躲避 EDR
因为插件本身就“被允许这么做”。
___________________________________________________________________
七、这就是“新的软件供应链攻击”
这件事最重要的,不是某个 IDE 的 Bug。
而是暴露了一个趋势:
插件市场、本地扩展、开发工具,已经变成新的软件供应链入口。
攻击者不再需要:
他们只需要:
等你“正常工作”,然后从你每天信任的工具下手。
___________________________________________________________________
八、这次是怎么被拦下来的?
Koi的研究人员在漏洞被公开利用前:
最终结果:
Cursor 已修复
Google 移除了部分推荐并修复
Windsurf 至今未回应
___________________________________________________________________
当然,还是老规矩,同时用视频帮助大家更好得理解这个“新金矿”👇👇👇👇👇👇
| 参考报告
“我们如何阻止 Cursor、Windsurf 和 Google Antigravity 推荐恶意软件”
https://www.koi.ai/blog/how-we-prevented-cursor-windsurf-google-antigravity-from-recommending-malware
10个月宝宝每天需要喝多少奶粉?
