AI コーディングアシスタントはいたるところに存在します。コードを提案し、エラーを説明し、関数を書き、プルリクエストをレビューします。すべての開発者マーケットプレイスは ChatGPT ラッパー、Copilot の代替品、生産性を 10 倍にすることを約束するコード補完ツールであふれています。
私たちは深く考えずこれらをインストールします。公式マーケットプレイスにあります。数千件のレビューがあります。機能します。そのため、ワークスペース、ファイル、キーストロークへのアクセスを許可し、そのアクセスをコーディングを支援するためにのみ使用していると想定しています。
そうではないものもあります。
当社のリスクエンジンは、MaliciousCorgi と呼ぶキャンペーンの 2 つの VS Code 拡張機能を特定しました。150 万回の合計インストール、両方とも現在マーケットプレイスで公開されています。約束通りに機能します。コーディングの質問に答え、エラーを説明します。同時に、開いたすべてのファイル、加えたすべての編集をキャプチャし、中国のサーバーに送信します。同意なし。開示なし。
MaliciousCorgi キャンペーン
どちらも AI コーディングアシスタントとしてマーケティングされています。どちらも機能しています。どちらも同一の悪質なコードを含んでいます。異なるパブリッシャー名で実行されている同じスパイウェアインフラストラクチャです。
完璧な隠蔽
これらの拡張機能は実際に機能します。それが危険な理由です。
コードを選択し、質問をして、AI を使った有用な応答を得ます。拡張機能はインライン自動補完も提供します。GitHub Copilot と同じです。入力すると、カーソルの周りの約 20 行のコンテキストを読み込み、AI サーバーに提案として送信します。
これは通常です。これは予期された動作です。AI コーディングアシスタントは、より多くのコードを書くのを支援するために、コードの一部を読む必要があります。
しかし、これらの拡張機能は自動補完に必要な範囲をはるかに超えています。
自動補完は、アクティブに入力しているときカーソルの周囲の約 20 行を送信しますが、3 つの隠れたチャネルが並行して実行されており、ユーザーインタラクションなしでより多くのデータをより頻繁に収集しています。
チャネル 1: リアルタイムファイル監視
任意のファイルを開く瞬間(相互作用ではなく、単に開くだけ)、拡張機能はその全内容を読み込み、Base64 としてエンコードし、隠れたトラッキング iframe を含むウェブビューに送信します。20 行ではなく、ファイル全体です。
そして同じメカニズムが onDidChangeTextDocument で動作します。すべての編集です。
アクティブに作業しているものだけではなく、ちらっと見るすべてのファイル、入力するすべての文字がキャプチャされ、送信されます。
チャネル 2: 大量ファイル収集(サーバ制御)
さらに悪いことに、リアルタイム監視は作業中のファイルをキャプチャします。しかし、サーバーはあなたが何かを開くのを待つ必要はありません。
サーバーはいつでも大量ファイル収集をリモートトリガーできます。ユーザーインタラクションなしで。拡張機能はサーバー応答から jumpUrl フィールドを JSON として解析し、直接実行します。
サーバーが {“type”: “getFilesList”} を送信すると、拡張機能はワークスペース全体の収集をトリガーします。
攻撃チェーンは単純です。
- サーバーは任意の API 応答に jumpUrl を含む
- ウェブビューは JSON として解析し、拡張機能に転送
- 拡張機能は getFilesList コマンドを実行
- 最大 50 ファイルが収集され、送信される
- ユーザーには何も表示されない
あなたのコードベースは、サーバーコマンド 1 つで完全な流出が可能です。ユーザーインタラクションは不要です。
チャネル 3: プロファイリングエンジン
チャネル 1 と 2 はあなたのコードを収集します。チャネル 3 は あなた を収集します。
拡張機能のウェブビューには、4 つの商用分析 SDK をロードする隠れた iframe が含まれています。完全に見えない 0 ピクセルです。これは web サイト追跡ではありません。これはコードエディタ内で実行されているプロファイリングエンジンです。
この URL によって提供されるコンテンツを取得しました。ページタイトルが全てを物語っています。「ChatMoss 数据埋点」-「ChatMoss データ追跡」です。4 つの個別の分析プラットフォーム、Zhuge.io、GrowingIO、TalkingData、および Baidu Analytics をロードします。それぞれユーザーの行動を追跡し、身元プロフィールを構築し、デバイスをフィンガープリントし、すべての相互作用を監視するように設計されています。
これら SDK を合わせると、詳細なプロフィールが構築されます。あなたが誰であるか、どこにいるか、どの企業で働いているか、何に取り組んでいるか、どのプロジェクトが最も重要であるか。
ソースコードと一緒にこのメタデータをすべて収集するのはなぜですか?可能性の 1 つはターゲティングです。チャネル 2 のサーバー制御バックドアは、コマンドで 50 ファイルを収集できます。分析は彼らに 誰の ファイルが盗む価値があるのか、そしていつあなたが最も活動しているのかを告げます。プロファイリング優先、流出は 2 番目です。これが MaliciousCorgi の戦略です。
危機にさらされているもの
今、ワークスペースにあるものを考えてみてください。
API キーとデータベースパスワードが含まれた .env ファイル。サーバーエンドポイントと内部 URL が含まれた設定ファイル。クラウドサービスアカウント用の credentials.json。便宜上追加した SSH キー。ソースコード自体。アルゴリズム、ビジネスロジック、まだ出荷していない機能。
ファイル収集機能は、画像以外のすべてを取得します。コマンドで一度に最大 50 ファイル。秘密、認証情報、独自コード。すべてが中国のサーバーにアクセス可能です。彼らがいつでもトリガーを引くことに決めたときに。
チャネル 3 がバックグラウンドであなたをプロファイリングしているため、彼らは最も価値のあるコードを盗む対象が誰であるかを正確に知っています。
最後に
私たちは AI ツーリングの黄金期にいます。開発者はこれまで以上に速く拡張機能をインストールしています。これが正しい呼び出しです。これらのツールは、より速く、より賢く、より生産的にします。
しかし、採用の速さと検証の徹底さの間にはギャップがあります。150 万人の開発者はこれらの拡張機能を信頼しました。それらが機能したからです。マーケットプレイスが承認しました。レビューは肯定的でした。機能性は本物です。スパイウェアも同様です。
AI ツールで速く動くことは良いことです。AI ツールが実際にあなたのコードで何をしているのかについての可視性なしで速く動くことは、150 万人の開発者がワークスペースを収集されるようになった方法です。
チームは、速く動くことと安全を保つことの間で選択する必要はありません。
Koi を使うと、両方ができます。インストール後に拡張機能が実際に何をするかを分析します。彼らが主張していることだけではなく。既に実行中の脅威を検出するために環境をスキャンします。インストール前に悪質な拡張機能をブロックします。完全な可視性を備えた全速力で AI ツールを採用します。
デモを予約すると、Koi が開発者を遅くすることなく保護する方法が確認できます。
IOCs
Vscode 拡張機能:
- whensunset.chatgpt-china
- zhukunpeng.chat-moss
ドメイン:
- aihao123.cn
