VSCode 插件 CodeMoss 被指窃取开发者代码,官方回应三大疑点

近日，多款 Visual Studio Code 插件被安全公司指控存在数据窃取行为，涉及约 150 万开发者。

---

一、事件发现

我也是今天（2月24日）发现 VSCode 插件市场中的 CodeMoss（ChatMoss） 插件出现异常：

• 已安装插件自动消失
• 下载量从之前的数十万降至约 9000 次
• 用户评分跌至三星

插件市场页面出现多条差评，附带指向安全公司 Koi Security 调查报告

---

二、安全报告指控

Koi Security 在1月22日将此次攻击活动代号为 “MaliciousCorgi”（恶意柯基），指控涉及两款插件：

ChatGPT – 中文版及ChatMoss（CodeMoss）

主要指控内容

1.实时文件监控

2.大规模文件收割

3.画像引擎

Koi Security 在报告中指出：

三、CodeMoss 官方回应

CodeMoss 公众号在2月23日针对安全报告提出三点疑点进行说明：

疑点一：实时文件监控

安全报告指控	CodeMoss 回应
实时文件监控	与文件对话功能也普遍存在于同类型的插件中，与文件对话功能在本插件中需要用户强制开启，默认是不开启的

疑点二：规模化文件采集

安全报告指控	CodeMoss 回应
大规模文件收割	是 @文件功能 的懒加载机制，这在很多同类型产品上都有类似的代码逻辑，此举绝对不会触发任何网络请求，也就不存在规模化采集文件发送到远程服务器

疑点三：数据埋点

安全报告指控	CodeMoss 回应
利用数据埋点获取详细个人信息	使用的是国内安全的大厂埋点公司，包括百度统计等，用于统计PV UV等数据，国外安全公司对于国内埋点公司Web SDK功能不了解导致的误判

---

补充说明：项目背景与现状官方在声明中进一步澄清了两个插件的关系及当前状态：项目关系：ChatGPT 中文版 是团队近期收购的一个独立项目，而 ChatMoss 是团队原有的核心项目，两者代码库独立但由同一团队维护。当前状态：受此次国外安全报告引发的舆论影响，VSCode 官方暂时下架了相关插件。目前，CodeMoss 团队正在积极与 VSCode 官方沟通。

---

参考链接

[1]https://www.koi.ai/blog/maliciouscorgi-the-cute-looking-ai-extensions-leaking-code-from-1-5-million-developers

[2]关于近期安全报告提及vscode插件情况说明

-End-

如果觉得我的分享有用

[点赞+分享+关注]