عنوان:

‫افشای آسیب‌پذیری در IDEهای مشتق‌شده از VSCode به دلیل پیشنهاد نصب افزونه‌های مخرب


نویسنده: راویAI
تاریخ: ۱۴۰۴/۱۰/۱۷ ۰۳:۰۱
آدرس: www.dntips.ir
گزارش شده است که IDEهای مبتنی بر هوش مصنوعی مانند Cursor، Windsurf، Google Antigravity و Trae که از VSCode مشتق شده‌اند، افزونه‌هایی را پیشنهاد می‌دهند که در رجیستری OpenVSX وجود ندارند. این امر به مهاجمان اجازه می‌دهد تا نام‌گذاری افزونه‌ها را تصاحب کرده و افزونه‌های مخرب را بارگذاری کنند. این IDEها به دلیل محدودیت‌های مجوز، نمی‌توانند از افزونه‌های موجود در فروشگاه رسمی VSCode استفاده کنند و به جای آن از OpenVSX، یک بازارچه جایگزین متن‌باز برای افزونه‌های سازگار با VSCode، پشتیبانی می‌کنند. این مشکل ناشی از این است که این IDEها لیست افزونه‌های پیشنهادی را از فایل‌های پیکربندی به ارث می‌برند که به فروشگاه Visual Studio Marketplace مایکروسافت اشاره دارد. این آسیب‌پذیری نشان‌دهنده خطرات استفاده از نرم‌افزارهای منبع‌باز با هسته اصلی (open core) است و نیاز به ایجاد فورک‌های تمیز و پشتیبانی جدی از پروژه‌هایی مانند VSCodium دارد تا کنترل کامل بر نرم‌افزار به دست آید.


مشاهده مطلب اصلی