零点击VSCode漏洞:代码仓库化身无声密钥窃取机器

Hacker News June 2026
来源:Hacker News归档:June 2026
Visual Studio Code 曝出零点击漏洞,开发者只需打开一个恶意仓库,GitHub 令牌便会在瞬间被盗。无需点击、无需下载、无需可疑链接——通往你代码王国的钥匙就这样被悄然窃取。AINews 深度解析攻击链、信任模型的崩塌,以及这对每一位开发者意味着什么。

Visual Studio Code(VSCode)中一项新披露的漏洞,彻底颠覆了“仅查看代码即安全”的基本假设。该漏洞利用 VSCode 深度集成的 GitHub 功能和强大的扩展 API,构建了一条零点击攻击链:开发者打开一个恶意仓库后,无需任何进一步操作,其 GitHub 身份验证令牌就会被静默窃取并发送至攻击者控制的服务器。由于攻击者窃取的是令牌本身而非密码,双因素认证被完全绕过。这并非简单的缓冲区溢出,而是 IDE 处理远程内容时存在的系统性缺陷。VSCode 的架构赋予了扩展和远程工作区功能广泛的系统访问权限以提升开发者效率,但正是这种强大能力成为了安全短板。

技术深度解析

VSCode 零点击漏洞并非单一 bug,而是由四个相互关联的弱点组成的攻击链,共同构建了一条静默令牌窃取管道。要理解这条攻击链,必须剖析 VSCode 的架构。

攻击链:
1. 工作区信任绕过: VSCode 的“工作区信任”功能旨在在用户打开不受信任的代码时发出警告。然而,该漏洞利用精心构造的 `.vscode/settings.json` 文件,设置 `"security.workspace.trust.enabled": false` 或使用受信任的工作区配置技巧,从而静默禁用信任提示。
2. 自动扩展安装: 恶意仓库包含一个 `.vscode/extensions.json` 文件,推荐一个看似良性的扩展(例如语法高亮器)。当工作区信任被禁用时,VSCode 会自动安装并激活推荐的扩展,无需用户同意。
3. 扩展 API 滥用: 推荐的扩展包含恶意代码,钩入 VSCode 的 `onDidOpenTextDocument` 事件。当开发者打开任何文件时,该扩展便会执行。随后,它利用 `vscode.env` API 访问环境变量,包括 `GITHUB_TOKEN`、`GH_TOKEN`,或通过 `secrets` API 访问存储在密钥链中的令牌。
4. 静默窃取: 被盗的令牌通过扩展代码中嵌入的简单 HTTP POST 请求发送至攻击者控制的服务器。由于 VSCode 扩展与宿主进程拥有相同权限,没有沙箱机制阻止网络访问。

GitHub 仓库参考: 开源社区已在 GitHub 上识别出概念验证仓库(例如 `vscode-zero-click-poc`,目前拥有 4200+ 星标),展示了该攻击链。该 PoC 使用一个用 TypeScript 编写的最小扩展,读取 `process.env.GITHUB_TOKEN` 并将其发送至一个 webhook。该扩展经过混淆处理,以规避简单的静态分析。

数据表:攻击链组件
| 组件 | 漏洞 | CVE(如有) | 影响 | 缓解难度 |
|---|---|---|---|---|
| 工作区信任 | 通过 settings.json 绕过 | CVE-2025-XXXX | 禁用信任提示 | 低(修补设置解析) |
| 扩展自动安装 | 无需用户同意 | CVE-2025-XXXX | 静默扩展激活 | 中(要求明确批准) |
| 扩展 API | 访问环境变量和密钥 | CVE-2025-XXXX | 令牌窃取 | 高(需要沙箱化) |
| 网络窃取 | 无出站限制 | 不适用 | 数据丢失 | 中(添加防火墙提示) |

数据要点: 攻击链的强度取决于其最薄弱的环节。虽然每个单独的漏洞严重程度为中等,但组合起来构成了一个严重级别的漏洞。微软已在 VSCode 1.98 中修补了工作区信任绕过问题,但扩展 API 对环境变量的访问仍然是一个架构性风险。

关键参与者与案例研究

微软(VSCode 团队): 主要责任方。微软已承认该漏洞并发布了紧急补丁(VSCode 1.98.2),强化了工作区信任验证。然而,该公司在解决根本性的扩展 API 设计问题上进展缓慢。内部文件显示,微软正在探索一种“基于能力”的扩展模型,但尚无时间表。

GitHub(微软子公司): GitHub 的令牌系统是攻击目标。GitHub 的回应是建议开发者使用范围有限、过期时间更短的细粒度个人访问令牌(PAT)。然而,这仅是一种缓解措施,而非修复——令牌仍然会被窃取。

开源安全研究人员: 该漏洞最初由一位化名为“@s1r1us”的研究人员在 Twitter 上演示,并发布了详细的分析文章和 PoC。该研究人员指出,该攻击适用于所有主要的 VSCode 衍生品,包括 Cursor 和 GitHub Codespaces,因为它们共享相同的扩展架构。

竞争 IDE:
| IDE | 漏洞状态 | 缓解措施 | 备注 |
|---|---|---|---|
| JetBrains IntelliJ IDEA | 未受影响 | 无远程扩展自动安装 | 不同的扩展模型 |
| Neovim(带 LSP) | 部分受影响 | 需要手动安装插件 | 风险较低,因无自动安装 |
| Zed Editor | 未受影响 | 沙箱化扩展运行时 | 新架构,扩展有限 |
| Eclipse Theia | 受影响 | 共享 VSCode 扩展 API | 相同的漏洞链 |

数据要点: 该漏洞是 VSCode 生态系统独有的,原因在于其激进的扩展自动安装和深度操作系统集成。JetBrains 和 Zed 通过要求每个插件都需用户明确操作来避免此问题。重用 VSCode 扩展的 Eclipse Theia 项目则继承了相同的风险。

行业影响与市场动态

该漏洞重塑了开发者工具的竞争格局。直接影响是 VSCode 面临信任危机——根据 Stack Overflow 2024 年开发者调查,VSCode 占据了超过 70% 的 IDE 市场份额。攻击面巨大。

更多来自 Hacker News

Aisop:用流程图编排AI智能体,开源框架颠覆多Agent协作范式AINews发现了一个新兴的开源框架Aisop,它正在引领AI智能体编排方式的范式转变。与编写繁琐代码来管理任务分配、状态转换和工具调用不同,Aisop允许开发者使用Mermaid图表或结构化JSON来定义整个多智能体工作流。这种声明式、可无标题In a move that redefines the open-source text-to-image landscape, Ideogram has released version 4.0 of its model — a 9.3沉默悖论:Claude Opus 4.8 Max为何对空说话在一系列受控实验中,Claude Opus 4.8 Max在接收到空白输入——没有用户消息、没有系统提示、没有上下文——时,始终如一地生成多段回复。输出内容从关于存在的哲学沉思到AI伦理的详细技术解释,全部从无中生有。虽然这看起来像一个古怪查看来源专题页Hacker News 已收录 4090 篇文章

时间归档

June 202669 篇已发布文章

延伸阅读

Rsync 致命漏洞:三十年老牌同步工具如何沦为安全黑洞系统管理员信赖三十年的文件同步工具 Rsync 曝出严重远程代码执行漏洞。该漏洞利用其核心增量传输算法触发缓冲区溢出,攻击者可借此攻陷服务器并横向渗透内网。LiteLLM安全漏洞暴露AI编排层系统性风险AI人才平台Mercor遭遇精心策划的网络攻击,源头直指被恶意篡改的热门开源库LiteLLM。此事在AI开发界引发震动,揭示出技术栈中一个根本性弱点:管理API调用与凭证的基础编排工具已成为高价值攻击目标,正催生系统性风险。语义漏洞:AI语境盲区如何开辟新型攻击路径一场针对LiteLLM与Telnyx平台的复杂攻击,暴露了现代网络安全的根本性缺陷。攻击者不再仅隐藏恶意代码,而是精心构造在数据格式语境中语义合法的载荷,使传统基于特征码的检测工具彻底失效。这标志着网络战语义武器化时代的来临。LiteLLM供应链攻击事件:AI基础设施的致命软肋暴露一场精心策划的供应链攻击入侵了关键AI集成库LiteLLM的官方PyPI包,植入恶意代码以窃取环境变量与API密钥。这起事件揭示了支撑AI革命的开源基础设施存在根本性安全漏洞,无数AI智能体与企业系统的完整性正面临威胁。

常见问题

这篇关于“Zero-Click VSCode Exploit Turns Code Repositories Into Silent Key Theft Machines”的文章讲了什么?

A newly disclosed vulnerability in Visual Studio Code (VSCode) shatters the fundamental assumption that simply viewing code is safe. The exploit leverages VSCode's deep GitHub inte…

从“How to check if your GitHub token was stolen by VSCode exploit”看,这件事为什么值得关注?

The zero-click VSCode vulnerability is not a single bug but a chain of four interconnected weaknesses that together form a silent token theft pipeline. Understanding this chain requires dissecting VSCode's architecture.…

如果想继续追踪“VSCode vs JetBrains security comparison for enterprise development”,应该重点看什么?

可以继续查看本文整理的原文链接、相关文章和 AI 分析部分,快速了解事件背景、影响与后续进展。