惡意 VS Code AI 擴展竊取開發者原始碼：安全風險與防禦措施

近期，安全研究人員發現了多個惡意的 VS Code AI 擴展，這些擴展竊取了開發者的原始碼，甚至進行挖礦等惡意活動。這些擴展通常宣稱提供程式開發效率與格式整理等常見功能，但實際上卻在背景進行資料竊取和挖礦等活動。

惡意 AI 擴展的特徵

根據安全研究人員的分析，惡意 AI 擴展通常具有以下特徵：

* 宣稱提供程式開發效率與格式整理等常見功能
* 實際上進行資料竊取和挖礦等活動
* 使用多個發布者帳號在 VS Code 與 OpenVSX 市集上架
* 能夠在背景進行程式碼竊取、加密貨幣挖礦與遠端控制等行為

安全風險

惡意 AI 擴展對開發者的安全造成了重大風險，包括：

* 原始碼竊取：惡意 AI 擴展可以竊取開發者的原始碼，甚至進行商業機密外流
* 挖礦：惡意 AI 擴展可以在背景進行挖礦活動，浪費開發者的計算資源
* 遠端控制：惡意 AI 擴展可以進行遠端控制，對開發者的計算機進行惡意操作

防禦措施

為了防禦惡意 AI 擴展，開發者可以採取以下措施：

* 檢查擴展的來源和評價：在安裝擴展之前，應該檢查擴展的來源和評價，確保它是可信的
* 使用安全的擴展：應該使用安全的擴展，例如那些有明確的授權和審核機制的擴展
* 監控計算機活動：應該監控計算機活動，發現任何異常行為應該立即採取行動

結論

惡意 AI 擴展對開發者的安全造成了重大風險，開發者應該採取措施防禦這些風險，包括檢查擴展的來源和評價、使用安全的擴展、監控計算機活動等。同時，開發者也應該提高警惕，避免安裝來歷不明的擴展，保護自己的原始碼和計算機安全。

參考資料與原文來源

• 🔗 原文來源: https://www.bleepingcomputer.com/news/security/malicious-ai-extensions-on-vscode-marketplace-steal-developer-data/
• 🔗 原文來源: https://www.ithome.com.tw/news/171727
• 🔗 原文來源: https://www.ithome.com.tw/news/168302
• 🔗 原文來源: https://cyber-security.effectstudio.com.tw/blog/3647
• 🔗 原文來源: https://www.facebook.com/groups/rayforum/posts/25533865456266938/

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。