FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

多款主流AI开发环境存在关键安全漏洞，导致数百万开发者面临安装恶意软件扩展的风险。基于VSCode分支开发的Cursor、Windsurf和Google Antigravity等AI集成开发环境（IDE）被发现推荐其官方市场根本不存在的扩展程序，这些工具合计用户量超过百万。

供应链威胁：自动推荐机制的双重风险

这些衍生自VSCode的IDE继承了指向微软扩展市场的配置文件，但由于法律限制无法直接使用，转而依赖开源替代方案OpenVSX。漏洞根源在于两类自动推荐机制：

• 文件触发型推荐：当打开特定文件（如azure-pipelines.yaml）时会自动推荐相关扩展（如Azure Pipelines扩展）
• 软件检测型推荐：当检测到用户机器安装PostgreSQL等软件时触发相应扩展推荐

漏洞验证：千名开发者中招的信任危机

研究人员发现这些被推荐的扩展在OpenVSX上并不存在，其命名空间处于未注册状态。攻击者只需注册这些命名空间并上传恶意扩展，就能使其显示为IDE的官方推荐。为验证风险，安全团队率先注册了包括ms-ossdata.vscode-postgresql、ms-azure-devops.Azure Pipelines等关键命名空间，上传明确标注"无实际功能"的占位扩展。

令人震惊的是，尽管这些扩展既无功能图标又带有警示说明，仍有超过1000名开发者仅因IDE推荐就进行了安装，其中部分扩展安装量超过500次。这充分证明了开发者对自动化推荐机制存在危险级别的信任。

厂商响应：修复进度参差不齐

漏洞披露时间线显示各厂商响应存在显著差异：

• Cursor：2025年11月23-24日收到报告，12月1日完成修复
• Google：最初两次以"不予修复"结案，最终在12月26日发布部分补丁
• Windsurf：始终未予回应
• OpenVSX：运营方Eclipse基金会与研究人员合作核查剩余命名空间并实施额外安全措施

安全启示：扩展市场成供应链新攻击面

该漏洞揭示了扩展市场正成为软件供应链中的新兴攻击载体。研究表明，攻击者无需传统钓鱼或社会工程手段，仅凭开发工具内置的信任机制就可能获取SSH密钥、AWS凭证和源代码等敏感信息。随着AI IDE的普及，安全专家强调必须建立严格的扩展推荐验证机制，防止开发环境大规模沦陷。

参考来源：

Cursor, Windsurf & Google Antigravity IDEs Recommend Malicious App Extension to Developers

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）