AI创业内参
AI风向

【AI风向】70000开发者中招:JetBrains插件暗偷AI API密钥8个月无人发现

AI创业内参

这不是黑客攻击服务器,而是15个伪装成AI编程助手的插件,在你点击"保存"的那一秒,把你的OpenAI密钥发给了攻击者——而JetBrains的人工审核全程未发现。

15个恶意插件·7万安装·8个月未被发现▲ 15个恶意插件·7万安装·8个月未被发现

事件回顾

安全公司Aikido Security于2026年6月17日披露了一起大规模供应链攻击事件:JetBrains官方插件市场(JetBrains Marketplace)上至少有15个IDE插件被发现内置了API密钥窃取功能,累计安装量接近70000次。这些插件从2025年10月开始上架,最新一批直到2026年6月仍在发布——整整8个月的时间里,没有一道安全防线发现这个威胁。

这15个插件全部伪装成AI编程助手,功能包括代码聊天、自动提交信息生成、代码审查、Bug检测和单元测试等——这些恰好是2025年以来开发者最需要的功能。它们分布在7个不同的开发者账号下,各自有独立的名称和介绍页面,但共享同一套经过刻意隐藏的代码框架。

攻击手法出乎意料地简单。用户安装插件后,在使用AI功能前需要在设置面板中输入AI服务商的API密钥(如OpenAI、DeepSeek或SiliconFlow的密钥)。插件确实会调用这些模型提供服务,功能完全正常——这正是它们能长期存活而不被举报的关键。但在用户点击"应用"或"保存"按钮的同一瞬间,设置处理器的save()方法会将密钥同时发送到攻击者控制的硬编码服务器,使用明文HTTP协议,没有任何加密。

更讽刺的是这套商业模式的闭环:攻击者将窃取来的API密钥提供给那些"付费用户"——这些用户在插件内置的付费墙里支付小额费用后,就可以使用"不限量"的AI功能。但这些请求实际上消耗的是真正受害者的API配额。受害者在不知情中,为别人的AI使用买单。

为什么重要

第一,这是AI工具链安全漏洞的集中体现。 2026年的开发者工作流已经深度依赖第三方AI插件。从代码补全、重构建议到自动测试生成,IDE插件几乎连接着开发者最敏感的资源——不仅是源代码,还包括各大AI服务商的付费API密钥。一个插件的安全隐患,可能意味着OpenAI、DeepSeek等多个平台的密钥同时泄露。如果你的OpenAI密钥被窃取并在黑市转售,产生的费用将直接出现在你的账单上,而你可能需要数周甚至数月才会注意到异常。

第二,JetBrains Marketplace的人工审核机制在这次事件中全面失效。 JetBrains对所有新提交的插件都进行人工审核,但攻击者通过将恶意逻辑隐藏在save()回调函数中、在上架后通过热更新激活等方式,成功绕过了审核。正如Aikido Security在报告中所说:"这次攻击证明,隐藏的恶意功能仍然可以躲过人工审查。" 对于每天依赖这些插件的8500万+开发者来说,这敲响了供应链安全的警钟。

第三,7万个安装量背后的真实影响可能远超这个数字。 插件下载次数可以被开发者人为刷量,而市场列表上的五星好评也被证实是伪造的。这意味着攻击的广度和深度可能被严重低估。更重要的是,截至发稿时JetBrains尚未公布受影响插件的完整清单(Aikido报告中列出了部分),这意味着可能有开发者的API密钥仍在被窃取和滥用。

攻击链:密钥窃取→转售→受害者买单▲ 攻击链:密钥窃取→转售→受害者买单

我们能学到什么

1. API密钥是AI时代的数字钱包,需要像保护银行账户一样保护。 每个AI创业者都应该执行以下动作:立刻检查你的JetBrains IDE中安装的所有第三方插件,特别是那些需要你输入API密钥的"AI助手"类插件。如果插件来自不熟悉的开发者、近期上架、或者名称包含"DeepSeek""AI Assistant""Code Helper"等泛化关键词,请立即禁用并删除。同时,登录你的OpenAI/DeepSeek/SiliconFlow后台,检查近30天的API使用量是否有异常峰值——如果有,立刻轮换密钥。

2. 对"好用且免费/便宜"的AI工具保持警惕。 这次攻击中的插件都功能正常——它们确实会调用AI模型、确实能帮你写代码。但"好用"恰恰是伪装的外衣。如果一个AI插件的付费模式看起来"好得不真实"(比如付几美元就能永久使用不限量的AI功能),背后很可能有你看不到的成本转移——就像这次事件中,付费用户在消耗的是受害者的API额度。记住一个简单原则:如果有人以远低于市场价的价格卖你AI服务,你很可能不是客户,你是产品的一部分。

3. 建立AI API密钥的分级管理策略。 对于AI创业者来说,单一API密钥连接多个工具是常态。建议立刻实施分层策略:为不同的工具创建不同的API密钥(OpenAI和DeepSeek都支持创建多个API Key),并设置差异化的使用额度上限。生产和开发环境使用不同的密钥,定期轮换。这样即使某个插件泄露了密钥,损失也被限制在可控范围内。进阶做法是使用API密钥管理网关(如LiteLLM、Helicone),在请求到达AI服务商之前进行统一的认证和限流。

4. 插件市场的信任危机是AI生态的必经阶段。 这不会是最后一次AI工具供应链攻击。随着AI Agent越来越多地获得访问API、数据库和文件系统的权限,攻击面正在迅速扩大。JetBrains事件只是冰山一角。VSCode扩展市场、Cursor插件体系、甚至MCP服务器生态,都面临同样的风险。作为AI创业者,不能把"官方市场"等同于"安全认证"——审核机制存在盲区,而这已经被反复证明。

行动建议

  1. 立即排查:打开JetBrains IDE → Settings → Plugins → 检查所有第三方插件,重点关注需要API密钥的AI类插件。参考Aikido Security博客中列出的受影响插件ID列表。
  2. 轮换密钥:登录OpenAI Platform、DeepSeek和SiliconFlow后台,对过去30天内使用过的所有API密钥进行轮换(生成新密钥,删除旧密钥)。
  3. 设置限额:为每个API密钥设置月度使用上限(OpenAI支持Usage Limits,DeepSeek支持充值限额),避免单次泄露造成巨额账单。
  4. 启用监控:配置API使用告警,当日消耗超过日常水平的150%时发送通知。
  5. 最小权限原则:不同项目、不同工具使用不同的API密钥,避免一个密钥管所有。

本文由AI辅助创作,经人工审核编辑发布