Các môi trường phát triển tích hợp (IDE) hỗ trợ AI phổ biến gần đây đã bị phát hiện chứa một lỗ hổng bảo mật nghiêm trọng, khiến hàng triệu nhà phát triển đối mặt với nguy cơ cài đặt các tiện ích mở rộng độc hại. Sự cố này tạo điều kiện cho một hình thức tấn công mạng tinh vi, nhắm vào chuỗi cung ứng phần mềm thông qua các khuyến nghị giả mạo từ chính các công cụ phát triển đáng tin cậy.
Lỗ Hổng Khuyến Nghị Tiện Ích Mở Rộng Trong AI IDEs
Bản Chất Lỗ Hổng và Các Nền Tảng Bị Ảnh Hưởng
Các IDE bao gồm Cursor, Windsurf và Google Antigravity, với tổng số hơn một triệu người dùng, đã bị phát hiện khuyến nghị các tiện ích mở rộng không tồn tại trên các marketplace tương ứng của chúng. Vấn đề này bắt nguồn từ việc các công cụ này được fork từ VSCode, kế thừa các tệp cấu hình trỏ đến marketplace của Microsoft, nơi chúng không được phép sử dụng hợp pháp.
Thay vào đó, các IDE này dựa vào OpenVSX, một lựa chọn mã nguồn mở. Lỗ hổng phát sinh từ hai loại khuyến nghị tự động mà các IDE này thực hiện, vô tình tạo ra một điểm yếu nghiêm trọng trong chuỗi cung ứng phần mềm.
Cơ Chế Khuyến Nghị Dễ Bị Lợi Dụng
Các khuyến nghị tiện ích mở rộng được kích hoạt theo hai cơ chế chính:
- Khuyến nghị dựa trên tệp: Kích hoạt khi người dùng mở các tệp cụ thể. Ví dụ, khi mở tệp
azure-pipelines.yaml, IDE sẽ đề xuất cài đặt tiện ích Azure Pipelines. - Khuyến nghị dựa trên phần mềm: Kích hoạt khi các ứng dụng như PostgreSQL được phát hiện trên máy của người dùng. IDE sẽ tự động gợi ý các tiện ích liên quan.
Các nhà nghiên cứu đã phát hiện ra rằng những tiện ích mở rộng được khuyến nghị này thực sự không tồn tại trên OpenVSX, khiến các không gian tên (namespaces) của chúng không bị chiếm dụng. Điều này mở ra cơ hội cho bất kỳ kẻ tấn công nào có thể đăng ký các không gian tên này và tải lên các tiện ích mở rộng độc hại. Các tiện ích này sau đó sẽ xuất hiện như những khuyến nghị chính thức từ IDE, đánh lừa người dùng cài đặt.
Cơ Chế Khai Thác và Mức Độ Rủi Ro
Chi Tiết Về Namespaces Bị Chiếm Đoạt
Để chứng minh mức độ rủi ro, các nhà nghiên cứu bảo mật đã tiến hành chiếm đoạt các không gian tên dễ bị tổn thương. Sau đó, họ đã tải lên các tiện ích mở rộng giữ chỗ (placeholder extensions) với cảnh báo rõ ràng rằng chúng không chứa bất kỳ chức năng nào. Các không gian tên đã bị chiếm dụng bao gồm:
ms-ossdata.vscode-postgresqlms-azure-devops.Azure Pipelines- Và một số không gian tên khác liên quan đến các quy trình phát triển phổ biến.
Ngay cả khi các tiện ích mở rộng này không có biểu tượng và nêu rõ mục đích của chúng là giữ chỗ, chúng vẫn nhận được hơn 500 lượt cài đặt.
Thí Nghiệm Chứng Minh Mức Độ Tin Cậy Của Người Dùng
Mặc dù các tiện ích mở rộng này chỉ là giữ chỗ và có cảnh báo, hơn 1.000 nhà phát triển đã cài đặt chúng chỉ vì IDE của họ khuyến nghị. Điều này chứng minh mức độ tin cậy nguy hiểm mà người dùng đặt vào các đề xuất tự động. Kẻ tấn công mạng có thể dễ dàng lợi dụng sự tin tưởng này để phân phối mã độc thông qua các tiện ích giả mạo, ẩn mình dưới danh nghĩa các công cụ phát triển hợp pháp.
Phản Ứng của Nhà Cung Cấp và Các Biện Pháp Khắc Phục
Thời Gian Tiết Lộ và Hồi Đáp Từ Các IDE
Lộ trình công bố chi tiết cho thấy phản ứng khác nhau từ các nhà cung cấp:
- 23-24 tháng 11 năm 2025: Lỗ hổng được báo cáo cho các nhà cung cấp.
- 1 tháng 12 năm 2025: Cursor đã xác nhận và khắc phục sự cố.
- 26 tháng 12 năm 2025: Google ban đầu đã hai lần đóng báo cáo với lý do “Không sửa chữa” trước khi chấp nhận lỗ hổng và phát hành một bản sửa lỗi một phần.
- Windsurf: Không bao giờ phản hồi về việc công bố lỗ hổng này.
Vai Trò của OpenVSX và Eclipse Foundation
Tổ chức Eclipse Foundation, đơn vị vận hành OpenVSX, đã hợp tác với các nhà nghiên cứu của Koi để xác minh các không gian tên còn lại. Họ cũng đã triển khai các biện pháp bảo mật mạng bổ sung trên toàn bộ registry, nhằm ngăn chặn các cuộc tấn công mạng tương tự trong tương lai. Sự hợp tác này là cần thiết để củng cố an ninh cho hệ sinh thái mở.
Hậu Quả và Bài Học về An Toàn Chuỗi Cung Ứng Phần Mềm
Mối Đe Dọa Tiềm Ẩn Đối Với Dữ Liệu Phát Triển
Lỗ hổng này làm nổi bật các marketplace tiện ích mở rộng như một vectơ tấn công mới nổi trong chuỗi cung ứng phần mềm. Nghiên cứu của Koi chứng minh cách dễ dàng khai thác sự tin cậy vào các công cụ phát triển, có khả năng cấp cho kẻ tấn công quyền truy cập vào các tài nguyên nhạy cảm mà không cần đến các phương pháp lừa đảo truyền thống hay kỹ thuật xã hội. Các thông tin có nguy cơ bị đánh cắp bao gồm:
- SSH keys
- AWS credentials
- Source code
Để biết thêm chi tiết về nghiên cứu này, bạn có thể tham khảo bài viết gốc tại Koi Security Research.
Tầm Quan Trọng Của Xác Thực Mở Rộng Trong AI IDEs
Các chuyên gia bảo mật cảnh báo rằng khi các AI IDE tiếp tục được áp dụng rộng rãi, việc xác thực nghiêm ngặt các khuyến nghị tiện ích mở rộng trở nên vô cùng quan trọng. Đây là biện pháp thiết yếu để ngăn chặn sự xâm phạm diện rộng vào các môi trường phát triển, tránh các tấn công mạng tiềm ẩn có thể gây ra thiệt hại nghiêm trọng. Nâng cao nhận thức về các lỗ hổng bảo mật như thế này là chìa khóa để bảo vệ hệ sinh thái phát triển.
