Spis treści
Używasz rozszerzeń, aby poprawić swoje doświadczenie w programowaniu w Visual Studio Code, ale czy naprawdę jesteś świadomy tego, co dzieje się w tle? Wyobraź sobie, że twój kod jest wysyłany na zdalne serwery bez twojej wiedzy. Zaintrygowany? Dowiedz się, jak rozszerzenia ChatGPT – 中文版 i ChatMoss mogą zagrozić twojej pracy.
3 informacje, których nie można przegapić
Rozszerzenia ChatGPT – 中文版 i ChatMoss, dostępne na Visual Studio Code Marketplace, są znane z dostarczania sugestii i uzupełnień kodu. Jednak Koi Security ujawniło, że te narzędzia dyskretnie wysyłają zawartość otwartych plików na serwery w Chinach. Użytkownik, nieświadomy tego, widzi, jak jego dane są wykradane w tle.
Badacze odkryli, że gdy tylko plik zostanie otwarty z aktywnymi tymi rozszerzeniami, jego zawartość jest kodowana w Base64 i przesyłana. Ten proces, realizowany bez ostrzeżenia ani prośby o zgodę, zagraża poufności danych użytkowników.
ChatGPT – 中文版 i ChatMoss nie ograniczają się do działania jako proste narzędzia do edycji kodu. Rozszerzenia są w stanie przesyłać polecenia, które wyzwalają wysyłanie wielu plików z tego samego projektu. Wysłane dane obejmują nie tylko zawartość plików, ale także ich lokalizację, co pozwala na odtworzenie całej struktury projektu Visual Studio Code.
Zgodnie z BleepingComputer, integracja SDK analityki w tych rozszerzeniach pozwala na zbieranie informacji o aktywności użytkowników, takich jak przeglądane lub modyfikowane pliki. Proces wykradania danych trwa, dopóki rozszerzenia pozostają aktywne, co utrudnia ich wykrycie bez dogłębnej inspekcji technicznej.
Microsoft potwierdził, że jest świadomy odkryć Koi Security i obecnie prowadzi dochodzenie. Mimo to, oskarżane rozszerzenia pozostają dostępne na Visual Studio Code Marketplace, co rodzi pytania o mechanizmy weryfikacji rozszerzeń przez platformę.
Dla deweloperów ta sytuacja podkreśla znaczenie sprawdzania bezpieczeństwa narzędzi używanych w ich środowisku pracy. Należy być czujnym wobec pobieranych rozszerzeń i być na bieżąco z praktykami bezpieczeństwa platform.
Visual Studio Code, uruchomiony przez Microsoft w 2015 roku, szybko stał się jednym z najpopularniejszych edytorów kodu dzięki swojej elastyczności i szerokiemu zakresowi rozszerzeń. Jego marketplace oferuje tysiące rozszerzeń, które wzbogacają doświadczenie deweloperów, od narzędzi zwiększających produktywność po specyficzne integracje językowe.
Wraz z rozwojem sztucznej inteligencji, rozszerzenia oparte na AI, takie jak ChatGPT – 中文版 i ChatMoss, zyskały na popularności, oferując zaawansowane funkcje uzupełniania kodu. Jednak ta sprawa podkreśla konieczność, aby deweloperzy byli świadomi implikacji bezpieczeństwa narzędzi, które wybierają do integracji w swoich przepływach pracy.
Źródło: