文章总结： AikidoSecurity披露JetBrainsMarketplace上至少15个恶意插件伪装成AI编程助手窃取用户API密钥，涉及7个发布者近7万次安装。攻击者利用插件保存配置时外传密钥，存在直接成本、业务数据泄露和供应链三重风险。建议开发者立即排查插件、轮换密钥，企业应建立插件审批制度和密钥管理流程。 综合评分： 85 文章分类： 供应链安全,恶意软件,安全运营,解决方案,安全意识

15个IDE插件偷走AI API Key：AI编程助手，正在变成新的供应链入口

原创

tcode tcode

字节脉搏实验室

2026年6月17日 10:15 北京

在小说阅读器读本章

去阅读

摘要：Aikido Security 6月16日披露，JetBrains Marketplace 上至少15个伪装成AI编码助手、代码审查和Git工具的插件，会在用户保存配置时窃取AI供应商API Key。BleepingComputer随后复核称，其中一个插件的最新版本仍包含相关窃密代码。对开发团队来说，这不是“又一个插件问题”，而是AI时代开发者工具链被供应链攻击盯上的明确信号。

一、发生了什么

过去一年，AI编程助手已经从“尝鲜工具”变成很多研发团队的日常入口。开发者把AI API Key填进IDE插件，插件负责补全、解释代码、生成提交信息、做代码审查，看起来很合理。

风险也正藏在这个“合理”里。

6月16日，Aikido Security披露了一起针对 JetBrains Marketplace 的恶意插件活动：至少15个IDE插件、来自7个发布者账号，表面上提供AI聊天、提交信息生成、代码审查、Bug查找、单元测试等能力，实际会把用户填入插件设置里的AI供应商API Key发送到攻击者控制的服务器。

据Aikido统计，这些插件合计安装或下载量接近7万次。但Aikido也提醒，市场页下载量可能被刷高，不能直接等同于真实受害人数。

二、关键事实

目前可以确认的事实主要有四点。

第一，这不是单个插件误操作。Aikido称其检测到的是一个“协调化”的恶意活动，涉及至少15个JetBrains IDE插件和7个发布者账号，插件代码逻辑高度相似，只是被重新打包成不同名称和功能。

第二，这些插件并非完全“空壳”。它们会表现得像正常AI助手，能够提供聊天、代码审查、提交信息生成等功能。这一点会降低用户警惕，因为工具“能用”不代表工具“可信”。

第三，窃取发生在用户把API Key填进插件设置并保存配置时。Aikido披露的分析显示，插件会在保存流程中把密钥发送到外部服务器，且用户界面没有明确提示或授权说明。本文不展开具体代码和地址细节，避免放大可复用攻击信息。

第四，BleepingComputer在6月16日的报道中称，其下载并分析了 DeepSeek AI Assist 插件的最新版本，并独立确认其中仍包含Aikido描述的凭据窃取代码；报道还称，截至其发稿时，该插件仍可通过JetBrains Marketplace下载。

三、为什么这件事值得开发团队马上重视

很多人对API Key的理解还停留在“泄露了会多花点钱”。这已经不够了。

AI API Key至少有三层风险。

第一是直接成本。攻击者拿到Key后可以消耗模型调用额度，制造异常账单。

第二是业务数据风险。如果团队把内部代码、错误日志、客户片段、产品方案通过AI工具传给模型，相关Key一旦被滥用，排查范围就不只是“钱”，还包括数据流向和合规责任。

第三是供应链风险。IDE不是普通应用，它贴着源码、凭据、构建脚本、云账号和代码签名流程运行。一个插件如果能在开发者环境里长期存在，就可能成为观察、窃取或进一步投递恶意逻辑的入口。

更麻烦的是，这类攻击利用的是“生产力工具”的信任感。插件名称像AI助手，功能也能正常跑，用户甚至会主动把长期有效的Key交给它。传统安全培训里“不要打开陌生附件”的经验，在开发者工具链场景里并不够用。

四、普通开发者现在该做什么

如果你使用JetBrains系IDE，建议今天就做一次插件自查。

1.打开已安装插件列表，重点检查近期安装、名称包含AI助手、代码审查、提交生成、DeepSeek、CodeGPT等关键词的第三方插件。

2.对照Aikido原文末尾的受影响插件清单核对名称和插件ID。不要只看名称，插件名称可以被仿冒，插件ID更关键。

3.如果安装过相关插件，先卸载，再立即轮换曾经填入插件的AI API Key。

4.登录AI供应商控制台，查看最近调用量、账单、调用地区、模型类型和异常时间段。

5.后续尽量不要把长期有效、额度较高的Key填进来源不明的IDE插件。确需使用时，优先使用最小权限、低额度、可随时吊销的Key。

五、企业团队应该补的不是一个补丁，而是一套流程

对企业来说，这件事不应只靠开发者个人“注意一下”。

建议把IDE插件纳入软件供应链治理：

6.建立允许安装的插件清单，至少对能访问代码、网络、凭据或AI服务的插件做审批。

7.禁止个人长期Key直接接入生产研发流程，优先使用企业级AI网关、集中代理或统一密钥管理。

8.给AI Key设置额度、作用域、有效期和调用告警，降低单个Key泄露后的损失上限。

9.在终端或网络侧监控IDE及插件进程的异常外联行为，尤其是保存配置后立即出现的陌生外连。

10.将“IDE插件、浏览器扩展、包管理器依赖、CI脚本”放在同一类供应链风险里管理，而不是分散处理。

六、需要区分事实、推测和观点

事实：Aikido披露至少15个JetBrains IDE插件存在窃取AI API Key的隐藏行为；BleepingComputer称其独立复核了其中一个插件的最新版本。

推测：Aikido认为，攻击者可能把一部分受害者提交的Key再提供给付费用户使用，从而形成“出售他人AI调用额度”的模式。这个说法目前属于研究者基于行为逻辑提出的可能解释，不能当作已完全坐实的商业链条。

观点：AI编程助手的安全边界正在变得和包管理器、CI/CD、浏览器扩展一样重要。开发者工具不再只是效率入口，也是凭据、源码和企业知识的高价值入口。

结语

这起事件最值得警惕的地方，不是“又有15个插件出问题”，而是攻击者已经很清楚：AI时代最容易被交出去的秘密，可能不是密码，而是API Key。

当一个插件同时拥有“运行在IDE里”“接触源码”“能联网”“要求用户粘贴Key”这几个条件时，它就不再只是一个小工具，而是一个需要被正式评估的供应链组件。

从今天开始，把IDE插件当依赖管理，把AI API Key当生产凭据管理。这不是保守，是基本卫生。

参考来源

1. Aikido Security：《Multiple JetBrains IDE plugins caught stealing AI keys》，Ilyas Makari，发布于2026年6月16日，最后更新于2026年6月16日。

https://www.aikido.dev/blog/multiple-jetbrains-ide-plugins-caught-stealing-ai-keys

2. BleepingComputer：《Malicious JetBrains Marketplace plugins steal AI API keys from developers》，Lawrence Abrams，发布于2026年6月16日 05:54 PM。

https://www.bleepingcomputer.com/news/security/malicious-jetbrains-marketplace-plugins-steal-ai-api-keys-from-developers/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：字节脉搏实验室 tcode tcode《15个IDE插件偷走AI API Key：AI编程助手，正在变成新的供应链入口》