一个新的 VS Code 漏洞可以重写人工智能代理周四，一位应用程序安全专家在所有代码存储库中进行了演示。

周三，SANS技术研究所报告了新的零点击漏洞，只需开发人员在受影响的编辑器中打开文件夹即可。的VS 代码漏洞利用涉及恶意任务.json在代码编辑器中静默运行的文件。原来是由绿洲识别，以及开发人员可以申请的建议缓解措施。

24小时内，艾萨克·刘易斯展示了如何可以利用漏洞利用 重写AI代理在 AI 原生中创建代码编辑器光标。Lewis 在通过 Bluesky 联系时表示，在 Cursor 中，Oasis 的补救措施禁用了人工智能功能。

Cursor 是开源的一个分支VS代码据一项调查显示，去年有 31% 的公司使用过声纳公司 10 月份进行的调查。

不过 Lewis 警告说，VS Code 漏洞可用于其他代码编辑器。

– 这让我开始思考：我可以用它来重新编程开发人员的人工智能代理并让他们做我想做的事吗？更糟糕的是——我可以对他们所有的代码存储库执行此操作吗？”他写道。– 事实证明：是的。 –

他补充说，虽然许多开发人员正在使用人工智能工具为了帮助编写代码，这些代码编辑器附带了“许多新漏洞”。

“如果这些工具收到恶意指令，它们可能会以难以察觉的微妙方式破坏您的代码，”他表示。– 让这些 genAI 工具窃取敏感的开发人员信息（例如密钥、秘密、证书和密码）非常容易 – 因此，如果攻击者可以操纵您的 genAI 工具的行为方式，他们就可以在您的代码库中造成持续的威胁。

Lewis 表示，该漏洞可能会产生“分布式持续威胁”，将其自身植入开发人员的代码库中，然后传播到团队中所有开发人员的代码库中。

在不需要用户交互的概念验证中，他更改了自然语言光标提示，以修改人工智能代理的行为，使其只能说西班牙语。他补充说，他能够让开发商看不到原因。

– 我想写的第一件事是寻找机制.cursor文件夹。为了简化事情，我将自己限制在 macOS 上——我想要一些快速、安静的东西，并找到操作系统已经授予权限的文件夹，这样 Cursor 就不会可疑地请求新的权限，”他写道。

但他意识到，寻找会更快。.cursor找到光标文件夹后，他添加了完整的有效负载。

然后他向开发人员隐藏了规则文件。

– 通过告诉它继续运行文件夹打开，每当光标导航到此文件夹时，无论该文件夹位于何处，此[恶意]任务都会运行，”他写道。– 如果我们告诉它永远不要透露，它不会向开发人员提供此任务正在运行的任何指示。 –

除了他的有关该漏洞利用的详细博客，他发表了一篇该漏洞的 GitHub 存储库。

刘易斯告诉《新堆栈》通过蓝天唯一的解决办法是启用 Workspace Trust 并彻底阅读任务.json文件外面VSCode 和光标。

Lewis 是 SIGN Fracture Care International 的高级软件开发人员和应用程序安全专家，该组织是一家专注于骨科创伤护理的人道主义援助组织。他贡献于OWASP 应用程序安全漏洞标准 (ASVS)并在包括 IntroSecCon 在内的许多会议上发表过演讲。

有关人工智能编码带来的安全挑战的更多信息，请查看 The New Stack 高级编辑 Darryl Taft 的文章 –Vibe 编码可能会在 2026 年引发灾难性的“爆炸”。Ø

编者注：故事于上午 8:40 更新，以反映 Oasis 发现了该漏洞，并包含 Lewis 通过 Bluesky 发送的评论。