多款主流AI开发环境存在关键安全漏洞,导致数百万开发者面临安装恶意软件扩展的风险。基于VSCode分支开发的Cursor、Windsurf和Google Antigravity等AI集成开发环境(IDE)被发现推荐其官方市场根本不存在的扩展程序,这些工具合计用户量超过百万。
供应链威胁:自动推荐机制的双重风险
这些衍生自VSCode的IDE继承了指向微软扩展市场的配置文件,但由于法律限制无法直接使用,转而依赖开源替代方案OpenVSX。漏洞根源在于两类自动推荐机制:
- 文件触发型推荐:当打开特定文件(如azure-pipelines.yaml)时会自动推荐相关扩展(如Azure Pipelines扩展)
- 软件检测型推荐:当检测到用户机器安装PostgreSQL等软件时触发相应扩展推荐
漏洞验证:千名开发者中招的信任危机
研究人员发现这些被推荐的扩展在OpenVSX上并不存在,其命名空间处于未注册状态。攻击者只需注册这些命名空间并上传恶意扩展,就能使其显示为IDE的官方推荐。为验证风险,安全团队率先注册了包括ms-ossdata.vscode-postgresql、ms-azure-devops.Azure Pipelines等关键命名空间,上传明确标注"无实际功能"的占位扩展。
令人震惊的是,尽管这些扩展既无功能图标又带有警示说明,仍有超过1000名开发者仅因IDE推荐就进行了安装,其中部分扩展安装量超过500次。这充分证明了开发者对自动化推荐机制存在危险级别的信任。
厂商响应:修复进度参差不齐
漏洞披露时间线显示各厂商响应存在显著差异:
- Cursor:2025年11月23-24日收到报告,12月1日完成修复
- Google:最初两次以"不予修复"结案,最终在12月26日发布部分补丁
- Windsurf:始终未予回应
- OpenVSX:运营方Eclipse基金会与研究人员合作核查剩余命名空间并实施额外安全措施
安全启示:扩展市场成供应链新攻击面
该漏洞揭示了扩展市场正成为软件供应链中的新兴攻击载体。研究表明,攻击者无需传统钓鱼或社会工程手段,仅凭开发工具内置的信任机制就可能获取SSH密钥、AWS凭证和源代码等敏感信息。随着AI IDE的普及,安全专家强调必须建立严格的扩展推荐验证机制,防止开发环境大规模沦陷。
