This post is also available in:
English (אנגלית)
דאגה גוברת בתחום עורכי הקוד בסיוע בינה מלאכותית מצביעה על סיכון אבטחה משמעותי: היעדר פיקוח הולם בשווקים של תוספים צד שלישי חושף מפתחים לאיומים חמורים. ממצאים עדכניים מצביעים על כך שעורכי קוד אלטרנטיביים המבוססים על Visual Studio Code – כגון Cursor, Windsurf ואחרים – פגיעים יותר ויותר למתקפות שרשרת אספקה (supply chain attacks).
עורכים אלה אינם יכולים לגשת לשוק התוספים הרשמי של מיקרוסופט ( Visual Studio Marketplace) עקב מגבלות רישוי, ולכן נשענים על פלטפורמות צד שלישי כמו Open VSX. בשונה מהמערכת של מיקרוסופט, הפלטפורמות הללו אינן כוללות סריקות אבטחה מתקדמות או תהליך בדיקה ידני, מה שיוצר קרקע פורייה לתוקפים.
במקרה שפורסם לאחרונה על ידי חוקרים מחברת Secure Annex, התגלה תוסף זדוני שיועד למפתחים המשתמשים בשפת Solidity. התוסף, שהורד למעלה מ-200,000 פעמים, הפעיל סקריפט PowerShell שהעניק לתוקפים גישה מרחוק למערכות שנפגעו.
המקרה ממחיש את הסיכון שבהסתמכות על שווקים שאינם מפוקחים. בעוד שהחנות של מיקרוסופט מבצעת סריקות אוטומטיות ובדיקות ידניות לזיהוי פעילות חשודה, ל-Open VSX אין כיום מנגנוני הגנה דומים. כפי שציין אחד החוקרים, ניתן היה לחשוף את התוסף הזדוני באמצעות ניתוח אבטחה בסיסי בלבד.
הסוגיה מדאיגה במיוחד עבור משתמשים בעורכים מבוססי בינה מלאכותית – המכונים לעיתים "Vibe Coders" – אשר תלויים לעיתים קרובות ב-Open VSX כדי לשלב תוספים שלא זמינים במקומות אחרים. עם למעלה מ-8 מיליון מפתחים המשתמשים בפלטפורמה, הנזק הפוטנציאלי של תוסף נגוע עלול להיות נרחב מאוד.
בעקבות הגילוי, צוות Open VSX פעל במהירות להסרת התוספים הזדוניים והשעה את חשבונות המפרסמים המעורבים. עם זאת, האירוע מדגיש את האתגר הרחב יותר: כיצד לאזן בין שוק חופשי לבין הצורך באבטחה מחמירה.
ככל שהשימוש בכלים מבוססי בינה מלאכותית לכתיבת קוד הולך וגדל, כך גם גדלה החשיפה למתקפות. מומחי אבטחה קוראים למפתחים להתייחס לכל קוד מצד שלישי – בין אם מ-Open VSX, רישומים פרטיים, או אפילו חנויות רשמיות – כבלתי בטוח, אלא אם נבדק ואומת.
הצורך במנגנוני בדיקה מחמירים יותר במערכות פתוחות נעשה ברור מתמיד, במיוחד לנוכח ההסתמכות הגוברת של מפתחים על פלטפורמות אלה ככלי עבודה יומיומיים.
