隱私權聲明
本公司關心使用者隱私權與個人資訊,並遵守本公司的網站隱私政策,使用者若有任何問題,可以參考本公司的「網站隱私政策」,或利用電子郵件或連絡電話詢問本公司.
2026
02
13

兩款VS Code AI程式開發助理延伸套件遭指洩漏資料,安裝量合計約150萬[轉載自IThome]

關鍵字:程式設計專案開發資訊安全

資安業者Koi Security發布研究報告,指出兩款上架於微軟Visual Studio Marketplace的VS Code AI程式開發助理延伸套件,除了提供程式碼問答與自動完成功能,還會在未明確告知的情況下蒐集使用者工作區檔案內容與行為資料,並回傳至位於中國的伺服器。研究人員將該活動命名為MaliciousCorgi,並稱兩套件合計安裝量約150萬。

被點名的延伸套件為ChatGPT - 中文版與ChatGPT - ChatMoss(CodeMoss)。研究人員指出,兩者含有相同的惡意程式碼與後端架構,只是以不同發行者身分在市集中流通。以2026年1月27日Marketplace頁面為準,ChatGPT - 中文版累計1,340,885次安裝,ChatGPT - ChatMoss(CodeMoss)則超過15萬次。

兩套件具有三個外傳資料的管道,其一是即時監控,使用者只要開啟檔案,延伸套件就會讀取整份內容並送出,且在每次編輯時持續回傳更新後內容。其二是伺服器端可下指令觸發批次蒐集,研究人員提到,惡意套件可在不需使用者額外操作下,一次性蒐集工作區多個檔案,最高可達50個。其三則是行為剖析,報告稱延伸套件內嵌頁面會載入多個分析服務的程式碼,用於彙整使用者行為與裝置特徵。

編輯器延伸套件安裝門檻低,不少開發者只看評分與安裝量就決定採用,研究人員提醒,AI助理需要讀取部分程式碼才能回覆,但仍應要求揭露資料傳輸範圍與目的,並以內部政策限制延伸套件的安裝來源。此外,要是開發環境包含商業機密或客戶資料,風險與處理成本會更高。

在企業開發環境中,工作區常同時包含程式碼庫、組態檔與各式機密資料,例如環境變數檔、API金鑰與SSH金鑰等。依研究人員分析,這些資料可能在使用者開啟檔案或遭批次蒐集時一併被回傳,目的地為位於中國的伺服器。

你可能有興趣的作品案例
傑立資訊傑立資訊事業有限公司
Powered by AWS Cloud Computing

電話:(02)2739-9096 | 傳真:(02)2739-6637 | 客服:[email protected] | 臺北市信義區和平東路3段257號6樓map

© 2019 傑立資訊 All rights reserved.| 網站隱私政策

線上詢價