単一の継承された設定ファイルが、すべての主要なAI IDEで数百万人の開発者をリスクにさらしました
最も人気のあるAI IDEが、公式に存在しない拡張機能を推奨していることを発見しました。誰でも請求してマルウェアをアップロードできる名前空間です。そこで私たちが最初にそれらを請求しました。
AI IDE ゴールドラッシュには盲点があります
Cursor、Windsurf、Google Antigravity、Trae:これらは現在ソフトウェア開発で最もホットなツールです。Cursorだけで日間アクティブユーザー100万人以上、99億ドルの評価額があります。Windsurfはローンチから数ヶ月以内に100万人のユーザーに達しました。Google Antigravityはほんの数週間前にローンチされ、Windsurfチームの24億ドル買収によって支えられています。
それらすべてに共通点があります:それらはすべてVSCodeからフォークされています。
そして彼らは問題を抱えています:Microsoftの拡張機能マーケットプレイスを使用できません。ライセンスは明示的にMicrosoft以外の製品によるアクセスを禁止しています。そこで彼らはOpenVSXを使用します。これはEclipse Foundationが管理するオープンソースの代替案です。
VSCodeをフォークするとき、彼らはその拡張機能推奨リストを継承しました。このリストはMicrosoftのマーケットプレイスの拡張機能を指しています。OpenVSXには存在しないすべての拡張機能です。
問題:存在しない拡張機能を推奨する
これらのIDEは、ハードコードされた公式のプロアクティブな推奨事項で出荷されます。検索結果ではありません。リクエストした提案ではありません。IDEはユーザーに積極的に言い張ります:「これをインストールすべきです。」
推奨事項には2つのタイプがあります:
ファイルベースの推奨事項: azure-pipelines.yamlのようなファイルを開くと、Azure Pipelinesエクステンションを推奨するトースト通知がポップアップします。
ソフトウェアベースの推奨事項: マシンにPostgreSQLがインストールされていますか?IDEは、検索することなく、自動的にサイドバーでPostgreSQL拡張機能を推奨します。
問題:これらの推奨拡張機能はOpenVSXに存在しませんでした。名前空間は未請求でした。誰でも登録して、望むものをアップロードできました。
何が起こる可能性があったか
このシナリオを想像してください:攻撃者がms-ossdata.vscode-postgresqlをOpenVSXに登録します。悪意のある拡張機能をアップロードします。
これでPostgreSQLがインストールされているすべての開発者がCursor、Windsurf、またはAntigravityを開くと、「推奨:PostgreSQL拡張機能」と表示されます。彼らはそれを信頼します。IDEが推奨しました。彼らはインストールをクリックします。
拡張機能はフルシステムアクセスで実行されます。SSHキー、AWS認証情報、ソースコード、すべて流出しました。フィッシングは不要です。不審なダウンロードはありません。IDEを使用している通常の日です。
アイコンなし、「これはVS Code拡張機能プレースホルダーです」と明確に記載されているプレースホルダーPostgreSQL拡張機能は、500回以上インストールされています。人々はそれをインストールしています。なぜなら、IDEがそう言ったからです。
私たちが行ったこと
脆弱な名前空間を自分たちで請求し、悪意のある行為者が最初に到達するのを防ぐためにプレースホルダー拡張機能をアップロードしました。
保護した拡張機能:
ms-ossdata.vscode-postgresql:マシンにPostgreSQLがインストールされているときにトリガーされますms-azure-devops.azure-pipelines:azure-pipelines.yamlを開くときにトリガーされますmsazurermtools.azurerm-vscode-tools:azuredeploy.jsonを開くときにトリガーされますusqlextpublisher.usql-vscode-ext:*.usqlファイルを開くときにトリガーされますcake-build.cake-vscode:build.cakeを開くときにトリガーされますpkosta2005.heroku-command:マシンにHeroku CLIがインストールされているときにトリガーされます
1,000人以上の開発者がプレースホルダー拡張機能をインストールしました。機能がなく、アイコンもなく、プレースホルダーであると明示的に述べている説明があります。IDEが推奨したためにインストールしました。それは、ユーザーがこれらの推奨をどの程度信頼しているかです。
その後、Eclipse Foundation(OpenVSXを運営)と協力して、これらのIDEの設定で参照されるすべての残りの名前空間と拡張機能が安全であることを確認し、名前空間から非公式の貢献者を削除しました。
開示
- 2025年11月23日:Googleに報告
- 2025年11月24日:Cursor に報告([email protected])
- 2025年11月24日:Windsurfに報告([email protected])
- 2025年11月25日:Googleが「対応不可(実行不可能)」として報告を閉じます
- 2025年11月25日:攻撃ベクトルを明確化:アカウント侵害は不要
- 2025年11月25日:Googleが再び「対応しない」として報告を閉じます
- 2025年11月25日:もう一度明確化:攻撃者は自分のアカウントを使用し、すべてのユーザーが影響を受けます
- 2025年11月26日:Googleが再度開き、脆弱性を受け入れます
- 2025年11月26日:OpenVSXに連絡して、残りの名前空間を確認
- 2025年12月1日: Cursorが問題を認識して修正
- 2025年12月26日:Googleが部分的な修正をリリース(13の拡張機能を削除)
- 2025年12月26日:設定内の脆弱な拡張機能がまだ残っていることをフラグ
- 2026年1月1日:Googleが修正済みとしてマーク
- 本日:公開開示
Windsurfは応答しませんでした。
OpenVSXを実行するEclipse Foundationは、喜んで協力してくれました。彼らは迅速に対応し、フラグを立てた名前空間を確認し、レジストリ全体でさらなるセキュリティ対策を積極的に講じました。彼らのコラボレーションのおかげで、応答していないベンダーを待つことなく責任を持って開示できます。
最終的な考え
拡張機能マーケットプレイスは新しいソフトウェアサプライチェーンであり、この研究はそれがどの程度簡単に悪用されるかを示しています。
Koiは正確にこのような脅威をキャッチするために構築されました:拡張機能マーケットプレイス防御のギャップを悪用する攻撃者。IDEの推奨が侵害される可能性がありますが、当社のリスクエンジンはインストール中に拡張機能が実際に何をするかを監視します:ネットワークリクエスト、ファイルシステムアクセス、スクリプト実行、コードがどのように到達したかに関係なく悪意のある意図を明らかにする行動パターン。
Fortune 50企業とテック業界の最大規模の企業の一部から信頼されているKoiは、セキュリティチームが環境に流入する第三者コードの可視性とガバナンスを得るのを支援します。
デモを予約して、従来の防御をすり抜ける脅威をキャッチする方法を確認してください。
安全にお過ごしください。
