今晚，给你的 AI 编程工具系上安全带

写给所有正在用 Claude、Cursor、Copilot、Code Agent 和各种 IDE 插件的开发者。

先说结论：别慌，别砸键盘，也别把 AI 工具连夜卸载。真正该紧张的不是“AI 会不会突然有坏心眼”，而是它旁边那一串权限：插件、终端、Token、CI/CD、云账号、生产密钥。

AI 编程工具像一位效率很高的实习同事。问题是，你不能因为它打字快，就顺手把公司保险柜钥匙、机房门禁卡、发布系统管理员账号，全塞进它兜里。

一、先查 IDE 插件：别让“插件”变“插刀”

最近安全社区披露的 GlassWorm 类事件，再次提醒大家：IDE 扩展不是小玩具。它们可能读工作区、跑命令、接触 Git 凭据、碰到 npm token，甚至盯上你的开发者密钥。

最麻烦的是，攻击者不一定正面硬闯。他可能披着“主题美化”“代码提示”“效率增强”的外衣，安静地坐在你的 VS Code、Cursor、VSCodium 或其他兼容生态里。你以为它在帮你补全括号，它可能在帮别人补全钱包。

今晚可以做三件小事：

• 删掉不用的扩展，尤其是“装了但想不起干啥的”。
• 检查最近安装、下载量很低、发布者陌生、更新记录异常的扩展。
• 对能运行命令、读取文件、接触终端的扩展，多看一眼权限和来源。

插件管理的原则很朴素：不认识的不要留，不用的不要装，来路不明的不要给工作区。

二、用 Gitea 的同学：该升级就升级

如果你的团队在用 Gitea，请确认版本已经升级到 1.26.2 或更高。官方在 2026 年 5 月发布过 1.26.2 安全版本，修复内容涉及权限、token scope、OAuth、包权限、Git smart HTTP、附件和 raw 文件访问等多个方向。

这类升级不性感，不像换大模型那样热闹，但它很实在。安全补丁就像牙线：平时没人晒，出事才知道没用它有多疼。

升级前，记得备份；升级后，验证登录、仓库权限、包仓库、Actions、Webhook 和关键集成。别只看服务能启动，真正的验收是：该访问的人能访问，不该访问的人碰不到。

三、AI Agent 权限：能干活，不等于能管家

现在很多 AI 工具不只是“聊天”，它能改文件、跑命令、装依赖、提交代码、开浏览器、查日志。能力越强，越要有边界。

最危险的配置，是把 AI Agent 放进一个什么都能摸到的开发环境：生产密钥在本机，云账号是管理员，CI/CD token 能发版，npm token 能发布包，SSH key 能进服务器。这样一来，一旦插件或依赖链被污染，AI 不是风险源，它会变成风险放大器。

更合理的做法是：

• 开发环境和生产环境分开，别把生产凭据放进日常工作目录。
• 给 AI 工具最小权限，需要什么给什么，用完就收。
• CI/CD 发布、云资源变更、密钥读取等高危动作，保留人工确认。
• Token 尽量短期、可轮换、可审计，别让一个万能 token 走天下。

今晚 30 分钟，按这个清单来

1. 清理 IDE 扩展：不用的删，不熟的查，奇怪的停。
2. 轮换高价值 token：GitHub、GitLab、npm、云平台、CI/CD。
3. 检查本机 .env、SSH key、registry token 是否暴露给 AI 工具。
4. 用 Gitea 的团队，升级到 1.26.2 或更高。
5. 把 AI Agent 的权限关进笼子：能工作，但不能随便碰核心流水线。

最后

不要把这件事理解成“AI 编程危险”。更准确地说，是开发者工作站变得更强、更自动、更连通了，所以它也更值得被认真保护。

以前，一台开发机被攻破，攻击者还要慢慢找路。现在，终端、浏览器、代码仓库、包管理器、云 CLI、CI/CD 全在旁边排队。门一开，路就很顺。

所以今晚别焦虑，做点小事就好。删几个插件，升个版本，收一收权限，轮换几个 token。安全不是每天立大旗，它更多时候就是：睡前把门锁好。