VSCode fork 漏洞

AI开发驱动集成开发环境IDE，如 Cursor、Windsurf 和 Google Antigravity 等因继承 VSCode 的配置文件缺陷，面临供应链攻击风险。这三个平台共拥有超过 百万级用户，其对扩展的自动化推荐机制可被攻击者利用，通过污染 OpenVSX 扩展市场来向开发者推送恶意代码。该漏洞允许攻击者注册未声明的扩展命名空间并上传恶意扩展，在无需传统社会工程学的情况下获得 SSH 密钥、AWS 凭证和源代码访问权限。该风险影响面凸显了开发者工具链中的新兴攻击向量，也标志着 IDE 扩展正式列入 MITRE ATT&CK 框架。