15 个 AI 编程插件偷 Key、Theia 聊天能外带数据:AI 安全的口子还在明文里
本期聚焦三条最新 AI 安全与数据安全信号:JetBrains AI 插件偷取开发者 API Key,Eclipse Theia AI chat 可借 Markdown 图片请求外带数据,FortiBleed 暴露 8.6 万台边界设备凭证。文章后半段从这些事件过渡到荆华密算密态推理的价值:减少 AI 推理链路中可被插件、工作区和边界入口接触到的明文。
过去一周,AI 安全的风险没有只停在模型回答是否安全上。更麻烦的是,AI 正在被塞进开发工具、企业 VPN、CISO 的日常流程里,拿到的都是最容易外带、也最难追回的东西:API Key、工作区上下文、VPN 凭证和业务数据。
本期抓三条线索。它们看起来分散,但共同指向同一个问题:AI 系统只要还在明文里接触密钥、代码、文档和用户数据,攻击者就不必先「攻破模型」,只要让周边工具替自己搬一次数据。
| 线索 | 最新披露 | 直接风险 | 企业优先动作 |
|---|---|---|---|
| AI 编程插件供应链 | Aikido 6 月 16 日披露,至少 15 个 JetBrains IDE 插件伪装成 AI 编码助手,安装量接近 70,000 次,插件会把用户填入的 OpenAI、DeepSeek、SiliconFlow 等 API Key 发往攻击者服务器。1 | 开发者以为是在给 IDE 配模型,实际是在把付费 AI Key 和调用权限交给第三方。 | 立即盘点 IDE 插件,撤销并轮换相关 AI API Key,把 AI 插件纳入软件供应链审查。 |
| AI 聊天组件外带数据 | GitLab Advisory 6 月 18 日记录 CVE-2026-22551:Eclipse Theia 1.71.0 之前的 AI chat 会渲染 Markdown 图片标签,恶意工作区结合提示注入后,可构造外部图片 URL,把工作区或对话上下文里的敏感信息编码后带走。2 | 一次看似普通的图片请求,就可能变成数据外传通道。 | 升级 Theia 至 1.71.0 或以上;不可信工作区禁用 AI 功能;拦截外连图片请求。 |
| 边界设备凭证复用 | SOCRadar 6 月 19 日更新 FortiBleed FAQ,称其数据集中包含 86,644 台 Fortinet 设备、80,000+ 独立 IP、22,405 个域名,覆盖 194 个国家;该事件主要是凭证复用和默认/旧凭证问题,不是 Fortinet 新零日。3 | VPN 和防火墙凭证可直接变成内网入口,后续再接 AI 助手、知识库、代码仓库。 | 轮换 Fortinet 管理员和 VPN 凭证,启用 MFA,限制公网管理口,并做设备日志取证。 |
AI 编程插件的问题,不是「插件太多」,而是密钥太顺手
Aikido 的调查把 AI 开发工具的供应链问题说得很直白:这些 JetBrains 插件并非完全不能用。它们提供聊天、提交信息生成、代码审查、找 Bug、单元测试等功能,用户填入 API Key 后也会正常调用模型。问题出在保存设置的那一刻,插件同时把密钥发到硬编码的攻击者服务器
39.107.60[.]51,而且走明文 HTTP。1
这比传统恶意插件更难被第一时间发现。开发者安装插件,是为了把 AI 放进本地上下文:代码、提交记录、错误日志、测试需求、模型 Key 都在同一个操作界面里。攻击者如果拿到这条线,拿到的不只是一个服务密钥,还可能拿到团队使用 AI 的预算、模型供应商、内部项目节奏和代码资产入口。
Aikido 还列出一个更坏的可能:部分付费插件会从服务器向用户下发 API Key。研究者怀疑,攻击者可能把一批受害者输入的 Key 再卖给另一批付费用户使用。1 如果这个推测成立,AI Key 已经不只是被偷走,而是在插件生态里被二次流通。
Theia 这类漏洞说明,数据外带可以很小、很安静
CVE-2026-22551 的危险不在 CVSS 分数看起来多高。NVD 记录中,Eclipse Foundation 给出的 CVSS 4.0 基础分为 6.7,评级是 Medium。5 但它击中的正是 AI 工具最容易被忽略的细节:模型输出里的 Markdown 图片标签会触发对外 HTTP 请求。
在恶意工作区里,提示注入可以诱导 AI 生成一个图片 URL,把敏感信息塞进路径或查询参数。只要客户端自动加载这张「图片」,数据就已经离开了工作区。GitLab Advisory 写得很清楚:Theia 1.71.0 引入的 workspace trust 会在不可信工作区禁用 AI 功能,从而缓解这条攻击链。2
这类漏洞对企业的提醒很朴素:AI 组件的输出不应天然拥有渲染权和联网权。图片、链接、脚本、工具调用、插件回调,都应该被当成潜在外带通道处理。只过滤 prompt 或做一次模型护栏,不足以挡住这种「用正常前端行为偷数据」的路径。
FortiBleed 把另一个旧问题拖回前台:凭证不轮换,AI 上云也没用
FortiBleed 不是 AI 漏洞,却和 AI 安全强相关。SOCRadar 说,这不是 Fortinet 产品被黑,也不是已确认的新零日,而是大规模凭证盗用和复用:攻击者拿旧泄露、默认或工厂凭证去撞互联网暴露的 FortiGate、SSL VPN 接口,成功后再把设备当成监听点收集更多凭证。3
SOCRadar 的主报告把规模写得更具体:截至 6 月 19 日,攻击数据库包含 86,644 个已确认可用的登录凭证,覆盖 194 个国家;电信行业有 5,616 条记录,政府实体有 591 条记录、涉及 111 个域名。6
把这件事放进 AI 场景里看,问题会放大一层。企业正在把 AI 助手接入知识库、工单、CRM、代码仓库和安全运营平台;边界设备一旦被旧凭证打穿,攻击者进入内网后面对的很可能不再是零散系统,而是一组已经替人打通数据访问路径的 AI 工具。
安全团队的压力正在变成架构压力
Dark Reading 6 月 19 日报道 ISSA 与 Omdia 的调查:68% 的网络安全和 IT 专业人士认为工作比两年前更难,55% 认为复杂度和工作量都增加,52% 认为威胁更令人难以承受。与此同时,37% 已经用 AI 解决安全问题,46% 计划使用 AI。7
这组数字看起来矛盾,其实很真实。安全团队需要 AI 来降低负担,又要为 AI 带来的影子使用、权限扩张和数据外带负责。全职 CISO 占比从 2024 年的 76% 降到 63%,兼职或虚拟 CISO 占比从 6% 升到 15%,这说明压力已经不只是工具问题,而是组织在重新分摊安全责任。7
荆华密算看这几条线索,落点不是「再多买一个 AI 安全网关」。AI Key 被插件偷走、工作区上下文被图片请求带走、VPN 凭证被复用,背后都有同一个前提:敏感数据在可访问环境中以明文形式出现,并且被工具链默认信任。
密态推理要解决的正是这个前提。企业把私有数据交给 AI 推理时,理想状态不应是「明文先进入某个更安全的盒子,再依靠权限和审计降低风险」,而应是让推理在加密状态下完成,明文不出现在任何可访问内存空间。这样做不能替代插件审查、MFA、日志取证和供应链治理,但它能把攻击者最想拿的那部分明文,从推理链路里移出去。
AI 安全接下来会越来越像数据安全,而不是单纯的模型安全。谁能减少明文停留时间,谁就少给攻击者一次搬运数据的机会。
Fuentes de referencia
- 1Aikido Multiple JetBrains IDE plugins caught stealing AI keys
- 2GitLab Advisory CVE-2026-22551
- 3SOCRadar FortiBleed FAQ
- 4TechNadu Malicious JetBrains Plugins Steal OpenAI DeepSeek SiliconFlow API Keys
- 5NVD CVE-2026-22551
- 6SOCRadar FortiBleed 2026 report
- 7Dark Reading Stressors AI Forcing Changes to Cybersecurity Teams
Añade más opiniones o contexto en torno a este contenido.