はじめに
AIを活用した統合開発環境(IDE)、例えばCursor、Windsurf、Google Antigravityなどが、推奨する拡張機能によってユーザーを潜在的なサイバー攻撃に晒す脆弱性が発見されました。これらのIDEはMicrosoft VSCodeのフォーク版ですが、ライセンス制限のため公式のVSCode Marketplaceではなく、オープンソースの代替マーケットプレイスであるOpenVSXを使用しています。
問題の背景
VSCodeのフォークIDEは、設定ファイルにハードコードされた公式推奨拡張機能のリストを継承しています。これらの推奨は、`azure-pipelines.yaml`のような特定のファイルを開いた際にトリガーされるファイルベースのものや、PostgreSQLのインストールを検出して関連拡張機能を提案するソフトウェアベースのものなど、2つの形式で提供されます。
脆弱性の詳細
しかし、推奨される拡張機能の中には、OpenVSXレジストリに存在しないものが多数あります。これにより、対応するパブリッシャーのネームスペースが未登録のまま放置されている状況が生まれていました。サプライチェーンセキュリティ企業のKoi社の研究者たちは、この状況を悪用し、脅威アクターが**未登録のネームスペースを事前に取得**し、悪意のある拡張機能をOpenVSXにアップロードする可能性があると指摘しています。ユーザーがIDEの推奨を信頼してこれらをインストールすれば、マルウェア感染のリスクがありました。
セキュリティ企業による発見と対応
Koi社の研究者らは、2025年11月下旬にこの問題をGoogle、Windsurf、Cursorに報告しました。Googleは12月26日にIDEからの13の拡張機能推奨を削除して対応しましたが、CursorとWindsurfはまだ反応していません。
Koi社の研究者らは、悪用を防ぐために、以下の拡張機能のネームスペースを自ら取得しました:
- `ms-ossdata.vscode-postgresql`
- `ms-azure-devops.azure-pipelines`
- `msazurermtools.azurerm-vscode-tools`
- `usqlextpublisher.usql-vscode-ext`
- `cake-build.cake-vscode`
- `pkosta2005.heroku-command`
彼らは、機能を持たないプレースホルダー拡張機能をアップロードすることで、サプライチェーン攻撃を阻止しています。さらに、OpenVSXを運営するEclipse Foundationと連携し、残りの参照されているネームスペースの検証、非公式のコントリビューターの削除、およびより広範なレジストリレベルの保護策を適用しています。
ユーザーへの注意喚起
現在のところ、Koi社の発見と対応以前に、悪意のあるアクターがこのセキュリティギャップを悪用した兆候はありません。フォークされたIDEのユーザーは、拡張機能の推奨事項を常に検証し、OpenVSXレジストリを手動で確認して、**それらが信頼できる発行元からのものであることを常に検証**することが推奨されます。