文章总结： OXSecurity报告指出VSCode与Cursor等IDE的4款热门插件存在高危漏洞，累计安装超1.28亿次。其中LiveServer等三款仍处0-day未修复状态，涉及文件窃取与代码执行风险。根本原因在于插件生态缺乏安全问责机制。建议开发者立即禁用未修复插件，配置防火墙限制调试端口访问，监控敏感文件读取行为，并严格审查开发环境权限以阻断攻击链路。 综合评分： 91 文章分类： 漏洞预警,供应链安全,安全工具,解决方案

漏洞预警：波及 VS Code 与 Cursor！4款超 1.28 亿安装的插件成黑客攻击跳板

原创

DarkLuke DarkLuke

SecLink安全空间

2026年2月22日 09:00 上海

全文共计2120字，预计阅读15分钟

在现代软件开发中，IDE（集成开发环境）及其扩展插件构成了核心生产力。然而，安全机构 OX Security 于近日（2月17日）发布的一份研究报告指出，4 款下载量累计超 1.28 亿次的顶级 IDE 插件存在严重安全漏洞。

更致命的是，这些漏洞不仅影响传统的 Microsoft Visual Studio Code (VS Code)，还直接波及了目前爆火的 AI 辅助编程（”vibe coding”）平台——Cursor 和 Windsurf。

由于这几款 IDE 底层共享扩展生态，这意味着全球数以千万计的开发者，其本地存储的 API 密钥、数据库凭证和核心源码，正暴露在极低门槛的攻击威胁之下。

🛑 核心干货：4大高危漏洞与攻击链路解析

根据 MITRE 在 2月16日 刚刚公开的 CVE 记录，这 4 款插件中有 3 款至今处于“零日（0-day）”未修复状态。以下是具体的漏洞利用机制（PoC 分析）：

1️⃣ Live Server 插件 (CVE-2025-65717)

• 危害评级：Critical (CVSS v3.1: 9.1)
• 安装量： 7200 万+
• 当前状态： ❌ 未修复 (所有版本均受影响)
• 漏洞本质与攻击链路：这是一种典型的远程文件窃取（Remote file exfiltration）漏洞。Live Server 的核心机制是在本地建立 HTTP 服务以实时预览网页。攻击路径：

1. 开发者在后台运行 Live Server（默认绑定在 localhost）。
2. 攻击者通过钓鱼邮件或即时通讯工具发送一个看似无害的恶意 Web 链接。
3. 开发者在浏览器中点击该链接。网页中隐藏的恶意 JavaScript 会绕过同源策略，直接向开发者本机的 localhost 端口发起请求。
4. 脚本静默爬取开发者本地工作区的文件（如 .git/config, .env），并将其外传至攻击者的远程服务器。整个过程无需任何身份验证。

2️⃣ Markdown Preview Enhanced 插件 (CVE-2025-65716)

• 危害评级：High (CVSS v3.1: 8.8)
• 安装量： 850 万+
• 当前状态： ❌ 未修复 (所有版本均受影响)
• 漏洞本质与攻击链路：该漏洞源于 Markdown 预览渲染引擎对 HTML 标签的过滤不严，导致任意 JavaScript 代码执行。攻击路径：

1. 攻击者在开源项目或文档中植入精心构造的恶意 .md 文件（内含恶意 HTML 标签或事件处理器）。
2. 开发者在 IDE 中使用该插件预览此 Markdown 文件。
3. 恶意 JS 代码在具有本地网络访问权限的 IDE 容器上下文中执行。
4. 脚本开始在后台扫描开发者的本地网络（Localhost 网络探测），并将探测到的敏感数据或内网拓扑结构外传。

3️⃣ Code Runner 插件 (CVE-2025-65715)

• 危害评级：High (CVSS v3.1: 7.8)
• 安装量： 3700 万+
• 当前状态： ❌ 未修复 (所有版本均受影响)
• 漏洞本质与攻击链路：此漏洞允许攻击者实现**远程代码执行 (RCE)**，但利用链需要结合社会工程学。攻击路径：

1. 攻击者通过社工手段（如伪造的 StackOverflow 回答、GitHub Issue 解决方案或钓鱼邮件）。
2. 诱导开发者将一段特定的恶意配置代码复制并粘贴到全局或工作区的 settings.json 文件中。
3. 由于 Code Runner 允许自定义执行脚本，一旦配置被篡改，当开发者下一次使用该插件运行代码时，便会直接在宿主机触发恶意命令，导致开发机被完全接管。

4️⃣ Microsoft Live Preview 插件 (无 CVE)

• 危害评级： 高危

• 安装量： 1100 万+

• 当前状态： ✅ 已修复 (微软已于 2025年9月 在 v0.4.16 版本中静默修复)

• 漏洞本质与攻击链路：原理与 CVE-2025-65717（Live Server）高度一致。当插件运行时，诱骗受害者访问恶意网站，通过针对 localhost 的特定 JS 请求枚举并窃取敏感文件。

  注：微软未针对此漏洞申请 CVE，且未公开致谢发现者。

🥶 供应链安全的深水区：“装死”的开发者与失控的生态

这批漏洞揭示了现代软件供应链中一个极其致命的盲区：IDE 插件生态缺乏安全问责制。

OX Security 研究团队表示，他们早在 2025年7月和8月 就已通过邮件、GitHub 和社交网络向这三款未修复插件的维护者提交了漏洞报告。然而长达半年多的时间里，没有收到任何维护者的回复，也未见任何修复动作。

由于现代企业普遍在生产环境（Production）投入重兵防护，开发者的本地机器反而成了防御最薄弱的突破口。攻击者只需利用一个扩展中的单个漏洞，就能完成内网的横向移动(Lateral Movement)，进而危及整个组织架构。

尤其是随着 Cursor、Windsurf 等 AI 编程工具的普及，开发者愈发依赖外部生态来提高效率，攻击面正在呈指数级扩大。

🛡️ 应急缓解措施与硬核防护指南

在官方补丁缺席的情况下，安全团队和开发者必须通过限制环境权限来切断攻击链路。以下是针对性的技术防护建议：

1. 阻断已知漏洞利用链（针对上述3款插件）

• 谨慎启动Localhost： 当本地服务器（如 Live Server）在后台运行时，绝对不要在浏览器中随意打开来源不明的网页或 HTML 文件。非测试期间，务必关闭本地 Server 进程。
• 锁定配置文件： 对全局及项目级的 .vscode/settings.json 实施强监控。除了坚决拒绝从邮件、聊天工具复制未知 Snippets 外，建议将其纳入版本控制，一旦发现非预期的变更立即告警。
• 降级或禁用： 在官方发布修复版本前，对于非重度依赖用户，建议直接在 VS Code/Cursor 中禁用 Live Server、Code Runner 和 Markdown Preview Enhanced。

2. 强化开发机底层防御 (安全架构层面)

• 配置本地环回防火墙： 使用主机防火墙（如 Windows Defender Firewall 或 macOS PF），严格限制针对开发调试端口（如常用的 3000, 5500, 8080）的入站和出站连接规则，确保仅信任的进程可以进行网络通信。
• 最小化攻击面 (Attack Surface Reduction)： 立即审查 IDE 中已安装的插件列表，卸载任何长期不更新、功能冗余或来源不明的扩展工具。
• 网络流量层阻断： 企业安全团队（SOC/IT）应在终端安全软件（EDR）或安全网关上，增加对异常进程读取 .env、.git/config、~/.aws/credentials 等高敏感度文件的行为监控，并拦截向高风险域名的异常数据外发。

总结： 在“风险自负”的开源插件生态中，不要将企业的最核心资产交托给无监管的代码。立刻盘点团队的 IDE 环境，拔掉这些可能已经被黑客盯上的引线。

请关注SecLink安全空间获取我们最新的更新

欢迎加入SecLink安全空间微信群探讨安全问题！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SecLink安全空间 DarkLuke DarkLuke《漏洞预警：波及 VS Code 与 Cursor！4款超 1.28 亿安装的插件成黑客攻击跳板》