你下載的是正版ChatGPT?這款「VS Code惡意擴充功能」 150萬人已中招
記者鄧天心/綜合報導
微軟(Microsoft)旗下的VS Code市集似乎被駭客盯上了,根據科技媒體《Tech Radar》報導,近期有一款惡意擴充功能,偽裝成熱門的AI工具,在被下架前已累積超過150萬次下載。
延伸閱讀:
OpenAI進軍科學界!推出Prism專為科學家、研究人員而生的AI
這波攻擊手法是「名稱搶註(Typosquatting)」,駭客看準近期DeepSeek、ChatGPT等AI程式設計輔助工具爆紅,開發出名稱類似的惡意軟體,駭客會將程式命名為類似「Deep Seek AI」或「ChatGPT Helper」的名稱,並盜用官方的圖示與描述,為了增加可信度,這些惡意軟體甚至會透過機器人洗出大量假好評與五星評價,讓其在搜尋結果中名列前茅。
雖然微軟已定期掃描並下架違規的擴充功能,但由於上架門檻相對寬鬆,惡意軟體往往能以「打帶跑」的方式不斷重生。資安專家強烈建議開發者在安裝任何擴充功能前,務確認發布者(Publisher)是否為官方認證帳號(通常有藍色勾勾);一併檢查連結的GitHub儲存庫是否活躍且真實,最後,也要仔細閱讀評論區,留意是否有大量重複或語法怪異的機器人留言。
資料來源:techradar
