文章总结： 多款主流AI开发环境存在安全漏洞，其自动推荐机制指向未注册的扩展命名空间，攻击者可据此劫持命名空间上传恶意程序。实测验证了开发者对IDE推荐的盲目信任，导致上千人安装测试扩展。目前部分厂商已修复，事件暴露了扩展市场供应链攻击风险，需强化验证机制。 综合评分： 86 文章分类： 供应链安全,漏洞分析,AI安全,漏洞预警

主流AI开发环境Cursor、Windsurf与Google Antigravity竟推荐恶意扩展

FreeBuf

2026年1月7日 17:37 上海

多款主流AI开发环境存在关键安全漏洞，导致数百万开发者面临安装恶意软件扩展的风险。基于VSCode分支开发的Cursor、Windsurf和Google Antigravity等AI集成开发环境（IDE）被发现推荐其官方市场根本不存在的扩展程序，这些工具合计用户量超过百万。

Part01

自动推荐机制的双重风险

这些衍生自VSCode的IDE继承了指向微软扩展市场的配置文件，但由于法律限制无法直接使用，转而依赖开源替代方案OpenVSX。漏洞根源在于两类自动推荐机制：

• 文件触发型推荐：当打开特定文件（如azure-pipelines.yaml）时会自动推荐相关扩展（如Azure Pipelines扩展）
• 软件检测型推荐：当检测到用户机器安装PostgreSQL等软件时触发相应扩展推荐

Part02

千名开发者中招的信任危机

研究人员发现这些被推荐的扩展在OpenVSX上并不存在，其命名空间处于未注册状态。攻击者只需注册这些命名空间并上传恶意扩展，就能使其显示为IDE的官方推荐。为验证风险，安全团队率先注册了包括ms-ossdata.vscode-postgresql、ms-azure-devops.Azure Pipelines等关键命名空间，上传明确标注”无实际功能”的占位扩展。

令人震惊的是，尽管这些扩展既无功能图标又带有警示说明，仍有超过1000名开发者仅因IDE推荐就进行了安装，其中部分扩展安装量超过500次。这充分证明了开发者对自动化推荐机制存在危险级别的信任。

Part03

厂商响应：修复进度参差不齐

漏洞披露时间线显示各厂商响应存在显著差异：

• Cursor：2025年11月23-24日收到报告，12月1日完成修复
• Google：最初两次以”不予修复”结案，最终在12月26日发布部分补丁
• Windsurf：始终未予回应
• OpenVSX：运营方Eclipse基金会与研究人员合作核查剩余命名空间并实施额外安全措施

Part04

扩展市场成供应链新攻击面

该漏洞揭示了扩展市场正成为软件供应链中的新兴攻击载体。研究表明，攻击者无需传统钓鱼或社会工程手段，仅凭开发工具内置的信任机制就可能获取SSH密钥、AWS凭证和源代码等敏感信息。随着AI IDE的普及，安全专家强调必须建立严格的扩展推荐验证机制，防止开发环境大规模沦陷。

参考来源：

Cursor, Windsurf & Google Antigravity IDEs Recommend Malicious App Extension to Developers

Cursor, Windsurf & Google Antigravity IDEs Recommend Malicious App Extension to Developers

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《主流AI开发环境Cursor、Windsurf与Google Antigravity竟推荐恶意扩展》