GitHub Copilot安全

IDE для разработки ИИ, такие как Cursor, Windsurf и Google Antigravity, подвержены риску атак на цепочки поставок из-за дефектов конфигурационных файлов, унаследованных от VSCode. Эти три платформы, насчитывающие более миллиона пользователей, имеют автоматизированный механизм рекомендаций для расширений, который может быть использован злоумышленником для распространения вредоносного кода среди разработчиков путем заражения рынка расширений OpenVSX. Уязвимость позволяет злоумышленнику зарегистрировать незаявленные пространства имен расширений и загрузить вредоносные расширения, чтобы получить ключи SSH, учетные данные AWS и доступ к исходному коду без традиционной социальной инженерии. Поверхность воздействия риска подчеркивает новый вектор атаки в инструментарии разработчиков и знаменует собой официальное включение расширений IDE в рамки MITRE ATT&CK.