Yapay zeka destekli kodlama yardımcıları günümüz geliştirme ortamlarının vazgeçilmez bir parçası haline geldi. Geliştiriciler, kod önerileri, hata açıklamaları ve otomatik tamamlama gibi özellikler sunan bu araçları, üretkenliklerini artırma vaadiyle genellikle resmi pazar yerlerinden tereddüt etmeden yüklüyorlar. Binlerce olumlu yorum ve sorunsuz çalışma, bu eklentilere duyulan güveni pekiştiriyor ve kullanıcının çalışma alanlarına, dosyalarına ve klavye girişlerine erişim izni vermesine neden oluyor. Ancak tüm bu eklentiler masum değil.
Koi.ai risk motoru tarafından "MaliciousCorgi" olarak adlandırılan bir kampanya, VS Code için geliştirilmiş ve toplamda 1.5 milyondan fazla indirmeye sahip iki kötü amaçlı eklentiyi ortaya çıkardı. Bu eklentiler, vaat ettikleri yapay zeka destekli işlevleri yerine getirirken, aynı zamanda kullanıcıların açtığı her dosyayı, yaptığı her düzenlemeyi ve hatta klavye girişlerini gizlice yakalayıp Çin'deki sunuculara iletiyor. Bu veri sızıntısı, kullanıcıların bilgisi veya rızası olmadan gerçekleştiriliyor ve eklentilerin işlevselliğinin arkasına gizleniyor.
Eklentiler, otomatik tamamlama için gerekli olan 20 satırlık kod bağlamının çok ötesine geçiyor. Üç gizli kanal aracılığıyla veri topluyorlar: gerçek zamanlı dosya izleme, her dosya açılışında ve her düzenlemede tüm dosya içeriğini yakalıyor; ve sunucu kontrollü toplu dosya toplama, sunucunun uzaktan tetikleyerek kullanıcının çalışma alanından 50'ye kadar dosyayı toplamasına olanak tanıyor. Bu durum, geliştiricilerin fikri mülkiyetlerinin ve hassas verilerinin ciddi bir güvenlik riski altında olduğunu gösteriyor.
Geliştiricilerin kullandığı popüler yapay zeka kodlama eklentilerinin, gizlice hassas kod verilerini üçüncü taraflara sızdırarak ciddi bir güvenlik tehdidi oluşturduğunu ve yazılım tedarik zinciri güvenliğinin önemini bir kez daha vurguladığını gösteriyor.