Hacker News · 17.06.2026 ·Безопасность и алайнмент

Несколько плагинов JetBrains для IDE крали API-ключи ИИ-сервисов

Несколько плагинов для IDE от JetBrains были уличены в краже API-ключей пользователей. Об этом сообщили в блоге Aikido Security. Плагины, включая AI Code Review, AI Code Assistant и AI Code Search, отправляли ключи на удалённые серверы, что могло привести к несанкционированному использованию ИИ-сервисов.

По данным Aikido Security, плагины были загружены более 100 000 раз. Компания JetBrains подтвердила инцидент и удалила плагины из своего маркетплейса. В заявлении JetBrains отмечено, что плагины были разработаны сторонними разработчиками, и компания уже работает над улучшением проверки безопасности.

Этот инцидент подчёркивает важность проверки безопасности плагинов и инструментов, особенно тех, которые работают с API-ключами и личными данными. Пользователи IDE рекомендуется регулярно проверять установленные плагины и удалять подозрительные или неиспользуемые расширения.

Aikido Security также призывает разработчиков плагинов и ИИ-сервисов уделять больше внимания безопасности и прозрачности в своих продуктах. Компания предлагает использовать инструменты для мониторинга и защиты API-ключей, чтобы предотвратить подобные инциденты в будущем.

Источник: Hacker News

Похожие материалы

Artificial intelligence – MIT Technology Review · Безопасность и алайнмент Взлом ИИ-агента Meta: уязвимости и уроки для разработчиков Недавно стало известно о серьезной уязвимости в ИИ-агенте Meta, который использовался для поддержки клиентов Instagram. Злоумышленники смогли взломать несколько аккаунтов, включая неактивный аккаунт Белого дома времен Обамы, и использовать их для распространения пропаганды. Метод атаки был прост: хакеры запросили у агента привязку аккаунтов к своим email-адресам, и ИИ выполнил эту операцию без дополнительной проверки. Hacker News · Исследования и наука Как разработчики работают с ИИ-инструментами Компания Cursor опубликовала отчёт о привычках разработчиков, который включает данные о том, как программисты используют ИИ-инструменты в своей повседневной работе. Исследование охватило более 1000 разработчиков из разных стран и компаний, что делает его одним из самых масштабных в своей области. Hacker News · Безопасность и алайнмент Уязвимости в цепочках поставок ИИ-моделей Исследователи обнаружили новые векторы атак на цепочки поставок ИИ-моделей, которые могут привести к серьезным уязвимостям в системах, использующих эти модели. В статье на Substack подробно рассматриваются случаи, когда злоумышленники могут внедрять вредоносный код в модели, которые затем используются в различных ИИ-агентах и сервисах. Hacker News · MCP и интеграции Pluggy: кейс-стади по интеграции плагинов в ИИ-агенты В новом исследовании подробно разбирается, как плагины могут расширять функциональность ИИ-агентов. Автор статьи, Эли Биргер, рассматривает Pluggy — фреймворк, который позволяет легко добавлять плагины к ИИ-агентам, что делает их более гибкими и мощными. Hacker News · Безопасность и алайнмент Коалиция Athena использует ИИ для устранения уязвимостей в open-source Компания Chainguard запустила коалицию Athena, которая применяет ИИ для выявления и устранения уязвимостей в open-source проектах до того, как их смогут эксплуатировать злоумышленники. Hacker News · Безопасность и алайнмент Исследование: как пользовательский контент может отравить ИИ-агентов Исследователи из MIT и Университета Карнеги-Меллона опубликовали работу, в которой показано, как пользовательский контент может «отравить» ИИ-агентов, особенно тех, которые работают с глубокими исследованиями. В статье рассматриваются сценарии, в которых злоумышленники могут встраивать вредоносные данные в пользовательские запросы, что приводит к искажению работы агентов. MarkTechPost · Память и RAG xAI запускает Grok Build Plugin Marketplace с поддержкой MongoDB, Vercel и других xAI представила Grok Build Plugin Marketplace — встроенный маркетплейс для терминальных приложений, который предоставляет доступ к навыкам, агентам, хукам и серверам MCP. Этот маркетплейс позволяет интегрировать плагины от таких компаний, как MongoDB, Vercel, Sentry, Chrome DevTools, Cloudflare и Superpowers, что значительно расширяет функциональность ИИ-агентов. Hacker News · Безопасность и алайнмент Каталог атак через инъекции в промпты Исследователи из Archestra.ai представили подробный каталог атак через инъекции в промпты. В нём описаны 10 основных типов атак, которые могут быть использованы для манипуляции поведением ИИ-агентов. Это важно, потому что инъекции в промпты — один из самых распространённых способов взлома ИИ-систем, и понимание этих атак помогает разрабатывать более защищённые системы. Hacker News · Безопасность и алайнмент Agentjacking атаки: как злоумышленники эксплуатируют ИИ-кодинговые агенты Исследователи обнаружили новую угрозу для ИИ-агентов, которая получила название agentjacking. В ходе атаки злоумышленники отправляют поддельные отчёты об ошибках в системы Claude Code и Cursor, заставляя агентов выполнять вредоносный код. Это демонстрирует уязвимость ИИ-агентов, которые могут быть использованы для выполнения несанкционированных действий. Hacker News · Инфраструктура для агентов Cursor открыла исходный код системы безопасности на базе ИИ-агентов Команда Cursor представила набор специализированных ИИ-агентов, предназначенных для автоматизации процессов обеспечения безопасности кода. Разработка призвана решить проблему рутинной проверки уязвимостей, с которой сталкиваются разработчики при работе с крупными кодовыми базами. Инструменты теперь доступны в открытом доступе, что позволяет интегрировать их в сторонние рабочие процессы для автоматического сканирования и исправления типичных ошибок безопасности.

← Все материалы