گزارش شده است که IDEهای مبتنی بر هوش مصنوعی مانند Cursor، Windsurf، Google Antigravity و Trae که از VSCode مشتق شدهاند، افزونههایی را پیشنهاد میدهند که در رجیستری OpenVSX وجود ندارند. این امر به مهاجمان اجازه میدهد تا نامگذاری افزونهها را تصاحب کرده و افزونههای مخرب را بارگذاری کنند. این IDEها به دلیل محدودیتهای مجوز، نمیتوانند از افزونههای موجود در فروشگاه رسمی VSCode استفاده کنند و به جای آن از OpenVSX، یک بازارچه جایگزین متنباز برای افزونههای سازگار با VSCode، پشتیبانی میکنند. این مشکل ناشی از این است که این IDEها لیست افزونههای پیشنهادی را از فایلهای پیکربندی به ارث میبرند که به فروشگاه Visual Studio Marketplace مایکروسافت اشاره دارد. این آسیبپذیری نشاندهنده خطرات استفاده از نرمافزارهای منبعباز با هسته اصلی (open core) است و نیاز به ایجاد فورکهای تمیز و پشتیبانی جدی از پروژههایی مانند VSCodium دارد تا کنترل کامل بر نرمافزار به دست آید.
مشاهده مطلب اصلی