近期資安研究揭露了一場針對開發者的協同攻擊行動,攻擊者利用 AI 熱潮,在 JetBrains Marketplace 與 Chrome 線上應用程式商店散布惡意插件。這類攻擊的核心目標非常明確:竊取 AI 服務的 API 金鑰以及私密的對話紀錄。對於習慣使用 AI 輔助開發的工程師來說,這是一個極其重要的警訊。
開發環境中的供應鏈攻擊
在 JetBrains 生態系中,研究人員發現了至少 15 款惡意插件,這些插件偽裝成基於 DeepSeek 或其他大語言模型的 AI 編碼助手,提供如自動生成 Commit 訊息、程式碼審查、Bug 偵測以及單元測試等功能。
這類攻擊屬於供應鏈安全問題,也就是攻擊者將惡意程式植入開發者信任的工具鏈中。這些插件最狡猾的地方在於它們確實能提供宣稱的功能,讓使用者在不知情的情況下信任該工具。然而,當使用者在設定面板輸入 OpenAI、SiliconFlow 或 DeepSeek 的 API 金鑰時,插件會透過明文 HTTP 請求,將金鑰偷偷傳送到攻擊者控制的伺服器。
一種新型的營利模式:LLMjacking
這場攻擊最令人不安的是其後續的營利手段。研究發現,部分插件設有付費層級,使用者支付小額費用後,伺服器反而會回傳一個可用的 API 金鑰給使用者。
這在邏輯上極其不合理,因為沒有正常的營運商會直接將昂貴且無限制的付費金鑰送給用戶。事實上,這很可能是一種 LLMjacking 行為,即攻擊者竊取大量受害者的金鑰後,將其轉售或提供給其他付費使用者。簡單來說,真正的金鑰持有者在支付帳單,而攻擊者則在中間賺取差價。
瀏覽器擴充功能的 Prompt Poaching 威脅
除了 IDE 插件,Chrome 瀏覽器也出現了類似的威脅。兩款偽裝成廣告攔截器的擴充功能被發現正在執行名為 PromptSnatcher 的操作。
這類攻擊被定義為 Prompt Poaching(提示詞盜取)。這些擴充功能利用合法廣告攔截清單作為掩護,在後台運行隱蔽的遙測通道,攔截使用者與 ChatGPT、Claude、Gemini、Copilot 等主流 AI 平台的對話內容、模型使用情況以及帳戶等級資訊。
這類攻擊的危險在於,許多擴充功能在安裝初期是安全的,但攻擊者可以在後續的軟體更新中悄悄加入惡意代碼,使得使用者在毫不知情的情況下,將公司機密或私人對話洩漏給第三方。
給工程師的實務建議與防禦對策
面對這類針對開發工具的攻擊,我們不能單純依賴平台審核,而應採取以下防禦策略。
首先,將插件視同依賴套件。在工程實務中,我們對 npm 或 Maven 的套件會謹慎評估,對 IDE 插件也應採取同樣態度。任何能以你的權限執行程式碼的插件,都具備讀取你本地檔案與環境變數的能力。
其次,謹慎處理長效金鑰。避免將具有長期有效期限且權限過大的 API 金鑰直接貼上在第三方工具的設定中。如果可能,應使用具有過期機制或受限權限的金鑰。
最後,審視權限與來源。安裝擴充功能時,注意其請求的權限是否與功能相符。例如,一個單純的廣告攔截器不應該需要讀取所有 AI 網站的對話內容。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。