Inhaltsverzeichnis
Sie verwenden Erweiterungen, um Ihre Entwicklungserfahrung in Visual Studio Code zu verbessern, aber sind Sie sich wirklich bewusst, was im Hintergrund passiert? Stellen Sie sich vor, Ihr Code wird ohne Ihr Wissen an entfernte Server gesendet. Neugierig? Erfahren Sie, wie die Erweiterungen ChatGPT – 中文版 und ChatMoss Ihre Arbeit gefährden könnten.
Die 3 wichtigsten Informationen
Die Erweiterungen ChatGPT – 中文版 und ChatMoss, die im Visual Studio Code Marketplace verfügbar sind, sind bekannt dafür, Codevorschläge und -vervollständigungen bereitzustellen. Koi Security hat jedoch enthüllt, dass diese Tools den Inhalt der geöffneten Dateien heimlich an Server in China senden. Der Benutzer sieht, ohne es zu wissen, wie seine Daten im Hintergrund exfiltriert werden.
Die Forscher haben entdeckt, dass sobald eine Datei mit diesen aktiven Erweiterungen geöffnet wird, ihr Inhalt in Base64 codiert und übertragen wird. Dieser Prozess, der ohne Warnung oder Zustimmung erfolgt, gefährdet die Vertraulichkeit der Benutzerdaten.
ChatGPT – 中文版 und ChatMoss fungieren nicht nur als einfache Code-Editor-Tools. Die Erweiterungen sind in der Lage, Befehle zu übermitteln, die das Senden mehrerer Dateien eines Projekts auslösen. Die gesendeten Daten umfassen nicht nur den Inhalt der Dateien, sondern auch deren Standort, was es ermöglicht, die gesamte Struktur eines Visual Studio Code-Projekts wiederherzustellen.
Laut BleepingComputer ermöglicht die Integration von Analyse-SDKs in diesen Erweiterungen die Sammlung von Informationen über die Benutzeraktivität, wie z.B. die angesehenen oder geänderten Dateien. Der Exfiltrationsprozess setzt sich fort, solange die Erweiterungen aktiv bleiben, was ihre Erkennung ohne eine gründliche technische Inspektion erschwert.
Microsoft hat bestätigt, dass sie über die Entdeckungen von Koi Security informiert sind und derzeit eine Untersuchung durchführen. Trotzdem bleiben die beanstandeten Erweiterungen im Visual Studio Code Marketplace verfügbar, was Fragen zu den Überprüfungsmechanismen der Plattform für Erweiterungen aufwirft.
Für Entwickler hebt diese Situation die Bedeutung hervor, die Sicherheit der in ihrer Arbeitsumgebung verwendeten Tools zu überprüfen. Es ist unerlässlich, wachsam gegenüber heruntergeladenen Erweiterungen zu sein und sich über die Sicherheitspraktiken der Plattformen zu informieren.
Visual Studio Code, das 2015 von Microsoft eingeführt wurde, ist dank seiner Flexibilität und seines breiten Spektrums an Erweiterungen schnell zu einem der beliebtesten Code-Editoren geworden. Sein Marketplace bietet Tausende von Erweiterungen, die die Erfahrung der Entwickler bereichern, von Produktivitätstools bis hin zu spezifischen Sprachintegrationen.
Mit dem Aufstieg der künstlichen Intelligenz haben IA-basierte Erweiterungen wie ChatGPT – 中文版 und ChatMoss an Popularität gewonnen, indem sie erweiterte Codevervollständigungsfunktionen bieten. Dieser Fall unterstreicht jedoch die Notwendigkeit für Entwickler, auf die Sicherheitsimplikationen der Tools zu achten, die sie in ihre Arbeitsabläufe integrieren möchten.
Quelle :