GitHubコパイロットのセキュリティ

Cursor、Windsurf、Google AntigravityなどのAI開発主導型IDEは、VSCodeから継承された設定ファイルの欠陥により、サプライチェーン攻撃の危険にさらされている。この3つのプラットフォームは、合わせて100万人以上のユーザーを抱えており、拡張機能の自動推薦メカニズムを備えています。このメカニズムを攻撃者が悪用し、OpenVSX拡張機能マーケットプレイスを汚染することで、悪意のあるコードを開発者にプッシュする可能性があります。この脆弱性により、攻撃者は宣言されていない拡張機能ネームスペースを登録し、悪意のある拡張機能をアップロードすることで、従来のソーシャルエンジニアリングなしでSSHキー、AWS認証情報、ソースコードへのアクセスを得ることができます。このリスクの影響範囲は、開発者のツールチェーンにおける新たな攻撃ベクトルを浮き彫りにし、MITRE ATT&CK フレームワークに IDE 拡張機能が正式に含まれることを意味します。