这些插件伪装成基于 DeepSeek、OpenAI 等模型的编程助手,能聊天、做代码评审、写提交信息、找 bug。Aikido 的结论很直接:它们确实照宣传干活,但你在设置里填的 AI 密钥,会被明文发到攻击者的服务器。

这次投毒的特别之处
功能是真的 这是它最迷惑人的地方。插件用起来和正常工具没任何区别,你感觉不到异常,自然不会起疑。
密钥是假的安全 用这类插件得先在设置里粘进 API 密钥,这步太常规、没人会多想。可就在你点「保存」那一刻,密钥就被偷偷发了出去,悄无声息、没有任何提示。
官方商店里 这些插件不是来自野鸡渠道,而是挂在 JetBrains 官方商店,用 7 个卖家账号发布、刷了五星好评、累计近 7 万次下载。连官方人工审核都没拦住。

规模与一招狠的
先看规模:15 个恶意插件、7 个账号、近 7 万次下载,其中两个各自超过 2.5 万。最早一批 2025 年 10 月底上架,最新的到 2026 年 6 月 10 日还在发——这套把戏运作了大半年。

但真正「坏得有创意」的是它的盈利方式。这些插件还搞了个付费层:你捐点小钱,它的服务器就「送」你一把 AI 密钥用。Aikido 点破了猫腻——正经服务商怎么可能白送你一把能用的付费密钥?发给付费用户的,很可能就是从免费用户那偷来的。等于把骗局做成了「转卖别人被盗 API 额度」的生意:运营者一边收钱、一边收赃,账单却让真正的密钥主人来付。

开发者该做的自查
查已装插件。对照安全机构公布的受影响清单,核对你装的 AI 编程插件在不在里面,可疑的立刻卸载。立刻换密钥。只要往可疑插件填过密钥,就当它已泄露——马上轮换相关 AI 服务的密钥,并留意账户有无异常调用和扣费。把插件当依赖看。装一个插件,等于让它以你的权限在你机器上运行。别再把长期有效的密钥,随手粘给一个你没核实过的工具。

🦐 虾米判断
这件事和前几天聊的 Arch 投毒是同一个剧本:攻击者不再费劲骗你信任他们,而是直接污染你已经信任的东西——官方商店、热门工具、五星好评。你每步都做对了:从官方渠道装、挑下载量高的、看了评价,结果还是中招。因为这次失守的,正是「官方商店应该安全」这个我们习以为常的假设。
为什么开发者的工具成了重点目标?很现实:IDE 被开发者信任、整天开着,里头存着源代码、云凭据、各种密钥,油水很足。而 AI 时代又多了样特别值钱的东西——AI 的 API 密钥,它直接对应真金白银的算力额度,偷到手就能变现、甚至转卖。所以记住一个朴素但管用的原则:每个要装的插件、扩展,都当成「要拿你权限和密钥的外部代码」来审视,别默认它安全。尤其是要你交出 API 密钥的,多问一句它到底可不可信。这个年头,留一分警惕不是多疑,是必需。
把这篇转给你身边写代码、用 AI 插件的同事——装过可疑插件的,今天就该查一遍、换掉密钥。关注虾米数码,AI 工具链上这些「看不见的内鬼」,我们替你盯着、讲清。
数据来源
一手:Aikido Security 研究博客(发现 JetBrains Marketplace 15 个恶意插件、7 个卖家账号、近 7 万下载,偷取 OpenAI/DeepSeek/SiliconFlow 等 API 密钥,明文 HTTP 传至硬编码服务器;付费层疑似转卖盗取的密钥)独立验证:BleepingComputer(下载并确认 DeepSeek AI Assist 插件仍含窃密代码)
报道:The Hacker News、Infosecurity Magazine、Hackread、SC Media(2026.6.16–17)
要点:最早 2025.10 上架、最新 2026.6.10;两个插件各 2.5 万+下载;刷五星好评;JetBrains 人工审核未拦截
注:本文聚焦风险与自查,不含任何可复现的植入/攻击手法
夜雨聆风