Cursor、Windsurf、Google Antigravity、Traeといった人気のAI搭載統合開発環境(IDE)ソリューションは、OpenVSXレジストリに存在しない拡張機能を推奨することがあり、脅威アクターがその名前空間を取得して悪意のある拡張機能をアップロードできてしまいます。
これらのAI支援IDEはMicrosoftのVSCodeからフォークされていますが、ライセンス上の制約により公式ストアの拡張機能を利用できません。代わりに、VSCode互換の拡張機能向けのオープンソースのマーケットプレイス代替であるOpenVSXによってサポートされています。
フォークの結果、IDEは設定ファイルにハードコードされた公式推奨拡張機能のリストを引き継ぎますが、これらはMicrosoftのVisual Studio Marketplaceを指しています。
これらの推奨は2つの形で現れます。1つはファイルベースで、azure-pipelines.yamlのようなファイルを開いたときにトリガーされ、Azure Pipelines拡張機能を推奨します。もう1つはソフトウェアベースで、開発者のシステムにPostgreSQLがインストールされていることを検出した際に発生し、PostgreSQL拡張機能を提案します。
出典: Koi
しかし、推奨される拡張機能のすべてがOpenVSXに存在するわけではないため、対応するパブリッシャーの名前空間が未取得のままになっています。
サプライチェーンセキュリティ企業Koiの研究者は、脅威アクターがアプリの推奨に対するユーザーの信頼を悪用し、未取得の名前空間を登録してマルウェアを拡散できると述べています。
.jpg)
研究者らは2025年11月下旬にこの問題をGoogle、Windsurf、Cursorへ報告しました。Googleは12月26日に自社IDEから13件の拡張機能推奨を削除する対応を取りましたが、CursorとWindsurfはまだ回答していません。
一方で、Koiの研究者は、悪意ある悪用を防ぐために以下の拡張機能の名前空間を取得したと主張しています:
- ms-ossdata.vscode-postgresql
- ms-azure-devops.azure-pipelines
- msazurermtools.azurerm-vscode-tools
- usqlextpublisher.usql-vscode-ext
- cake-build.cake-vscode
- pkosta2005.heroku-command
研究者らは、実際の機能は提供しないもののサプライチェーン攻撃を阻止できる、動作しないプレースホルダー拡張機能をアップロードしました。
さらに、OpenVSXの運営者であるEclipse Foundationとも連携し、残る参照先の名前空間を検証し、公式ではないコントリビューターを削除し、レジストリ全体としてより広範な保護策を適用しています。
現時点では、Koi研究者による発見と対応以前に、悪意あるアクターがこのセキュリティ上の隙間を悪用した兆候はありません。
フォークされたIDEのユーザーは、OpenVSXレジストリに手動でアクセスして推奨拡張機能を常に検証し、信頼できるパブリッシャーから提供されていることを確認するよう推奨されます。
