最新

你知道吗，VSCode 扩展可以完全访问你的系统，包括文件系统、网络和凭据？更糟糕的是，市场上已经出现了数十个恶意扩展，悄悄地危害着设备。 我是一名安全研究员和学生开发者，自己也遇到过这个问题。为了应对这一挑战，我开发了一个 100% 免费的工具（无需登录），可以扫描 VSCode（以及 Cursor/Windsurf）扩展，检测以下内容： - 隐藏的恶意软件和混淆代码 - 危险的权限和 API 滥用 - 脆弱的依赖关系和可疑的网络连接 用户已经在扩展中发现了数百个漏洞。VSCan 生成一份清晰且开发者友好的安全报告，帮助你了解自己正在安装的内容。 试试吧： [https://www.vscan.dev](https://www.vscan.dev) 我还开发了自定义的沙箱安全架构，以限制扩展在运行时的恶意活动。现有技术中没有类似的解决方案，如果你有兴趣尝试或了解更多，请随时联系我！ 我非常感谢任何反馈，感谢你的帮助！ _______________________________________________________________________________ 以下是我从市场上 1077 个扩展样本中检测到的一些数据： - 3 个扩展被 VirusTotal 标记为恶意 - 7 个扩展使用恶意网络连接（已通过 VirusTotal 验证） - 33 个扩展有关键漏洞的依赖关系 - 39 个扩展包含敏感信息（我见过 API 密钥、用户名、密码等） - 204 个扩展的开发实践较差，已被 OSSF 标记 - 71 个扩展具有非常高的权限（虽然不一定是坏事，但可能是潜在恶意活动的指示） 以下是一个包含恶意网络端点的扩展分析链接作为示例： [https://vscan.dev/?analysisId=9e6c1849-3973-402b-a4ff-3b4023508fb8](https://vscan.dev/?analysisId=9e6c1849-3973-402b-a4ff-3b4023508fb8)