AI代码编辑器扩展推荐漏洞引发供应链安全风险

多款流行的AI驱动VS Code分叉版本代码编辑器，包括Cursor、Windsurf、Google Antigravity和Trae等，被发现存在推荐不存在扩展的安全漏洞，可能为恶意攻击者创造供应链攻击机会。

漏洞成因分析

据Koi安全研究公司调查，这些集成开发环境继承了微软扩展市场的官方推荐扩展列表，但这些扩展在Open VSX注册表中并不存在，形成了安全空白。

VS Code扩展推荐机制分为两种形式：基于文件的推荐会在用户打开特定格式文件时显示提示通知，基于软件的推荐则在检测到主机已安装特定程序时进行建议。

Koi安全研究员Oren Yomtov表示："问题在于这些推荐扩展在Open VSX中根本不存在，相关命名空间处于无人认领状态，任何人都可以注册并上传恶意内容。"

攻击场景演示

攻击者可以利用这一漏洞，在Open VSX注册表中上传恶意扩展，例如ms-ossdata.vscode-postgresql。当安装了PostgreSQL的开发者打开上述AI代码编辑器时，会看到"推荐：PostgreSQL扩展"的提示信息，简单的安装操作就会导致恶意扩展部署到系统中。

这种基于信任的简单操作可能带来严重后果，包括敏感数据泄露、凭证和密钥被盗，以及源代码外流等。Koi的占位符PostgreSQL扩展获得了超过500次安装，说明开发者确实会因为IDE的推荐而下载这些扩展。

受影响扩展列表

Koi已通过占位符方式认领的部分扩展名称包括：

ms-ossdata.vscode-postgresql

ms-azure-devops.azure-pipelines

msazurermtools.azurerm-vscode-tools

usqlextpublisher.usql-vscode-ext

cake-build.cake-vscode

pkosta2005.heroku-command

修复措施与建议

在负责任披露机制下，Cursor和Google已推出修复方案解决该问题。负责监管Open VSX的Eclipse基金会也已移除非官方贡献者，并实施了更广泛的注册表级安全防护措施。

随着威胁行为者越来越关注扩展市场和开源仓库的安全漏洞，开发者在下载任何包或批准安装前必须谨慎行事，确认来源来自可信发布者。

Q&A

Q1：什么是VS Code分叉版本代码编辑器？

A：VS Code分叉版本是基于微软VS Code源代码开发的第三方代码编辑器，如Cursor、Windsurf等，它们通常添加了AI功能增强，但继承了原版VS Code的扩展推荐机制。

Q2：Open VSX注册表是什么？

A：Open VSX是一个开源的VS Code扩展注册表，为VS Code分叉版本提供扩展服务。与微软官方扩展市场不同，它允许任何人注册和发布扩展。

Q3：如何防范这类供应链攻击？

A：开发者应在安装扩展前验证发布者身份，选择知名可信的扩展源，避免盲目安装IDE推荐的扩展，特别是来源不明的扩展包。