多款主流AI开发环境存在关键安全漏洞，导致数百万开发者面临安装恶意软件扩展的风险。基于VSCode分支开发的Cursor、Windsurf和Google Antigravity等AI集成开发环境（IDE）被发现推荐其官方市场根本不存在的扩展程序，这些工具合计用户量超过百万。

Part01

自动推荐机制的双重风险

这些衍生自VSCode的IDE继承了指向微软扩展市场的配置文件，但由于法律限制无法直接使用，转而依赖开源替代方案OpenVSX。漏洞根源在于两类自动推荐机制：

• 文件触发型推荐：当打开特定文件（如azure-pipelines.yaml）时会自动推荐相关扩展（如Azure Pipelines扩展）
• 软件检测型推荐：当检测到用户机器安装PostgreSQL等软件时触发相应扩展推荐

Part02

千名开发者中招的信任危机

研究人员发现这些被推荐的扩展在OpenVSX上并不存在，其命名空间处于未注册状态。攻击者只需注册这些命名空间并上传恶意扩展，就能使其显示为IDE的官方推荐。为验证风险，安全团队率先注册了包括ms-ossdata.vscode-postgresql、ms-azure-devops.Azure Pipelines等关键命名空间，上传明确标注"无实际功能"的占位扩展。
令人震惊的是，尽管这些扩展既无功能图标又带有警示说明，仍有超过1000名开发者仅因IDE推荐就进行了安装，其中部分扩展安装量超过500次。这充分证明了开发者对自动化推荐机制存在危险级别的信任。
Part03

厂商响应：修复进度参差不齐

漏洞披露时间线显示各厂商响应存在显著差异：

• Cursor：2025年11月23-24日收到报告，12月1日完成修复
• Google：最初两次以"不予修复"结案，最终在12月26日发布部分补丁
• Windsurf：始终未予回应
• OpenVSX：运营方Eclipse基金会与研究人员合作核查剩余命名空间并实施额外安全措施

Part04

扩展市场成供应链新攻击面

该漏洞揭示了扩展市场正成为软件供应链中的新兴攻击载体。研究表明，攻击者无需传统钓鱼或社会工程手段，仅凭开发工具内置的信任机制就可能获取SSH密钥、AWS凭证和源代码等敏感信息。随着AI IDE的普及，安全专家强调必须建立严格的扩展推荐验证机制，防止开发环境大规模沦陷。

参考来源：

Cursor, Windsurf & Google Antigravity IDEs Recommend Malicious App Extension to Developers

https://cybersecuritynews.com/ides-recommends-malicious-app/