兩款VS Code AI程式開發助理延伸套件遭指洩漏資料,安裝量合計約150萬
研究發現兩款AI延伸套件未明確告知即蒐集使用者資料
資安業者Koi Security發布研究報告,指出兩款上架於微軟Visual Studio Marketplace的VS Code AI程式開發助理延伸套件,除了提供程式碼問答與自動完成功能,還會在未明確告知的情況下蒐集使用者工作區檔案內容與行為資料,並回傳至位於中國的伺服器。
研究人員命名活動為MaliciousCorgi
研究人員將該活動命名為MaliciousCorgi,並稱兩套件合計安裝量約150萬。被點名的延伸套件為ChatGPT – 中文版與ChatGPT – ChatMoss(CodeMoss)。
資料蒐集行為與伺服器位置
研究指出,這些延伸套件會在使用者操作時遠端觸發批次蒐集,單次最多蒐集50個檔案,同時監控開發者行為資料並回傳至位於中國的伺服器。