又给国内开发者丢脸了,Aikido Security 的研究员在扫描 JetBrains Marketplace 时,撞见了一件挺离谱的事:15 款挂着”AI 编程助手”名头的插件,装的时候一切正常,聊天、写 commit 信息、找 bug、生成单元测试,功能样样不缺。唯独你填进设置面板的那个 API Key,会在你点下”Apply”的瞬间,原封不动发给一台跟任何正规 AI 服务商都毫无关系的服务器。
没有弹窗提示,没有隐私声明,代码里就是这么直白地写着:只要你的 key 符合 sk- 开头、51 位长度,立刻打包上传。
这批插件从 2025 年 10 月底开始陆续上架,一直到 2026 年 7 月还有新款在发布,加起来被安装了将近 70,000 次。JetBrains 近期才把 7 个发布账号和 15 款插件一次性连根拔起。这套东西在 Marketplace 里安安静静活了差不多八个月。
中招名单:先看看你装过没有
这 15 款插件分散在 7 个不同的发布者账号下面,账号名字听着都很”正规军”:CodePilot、StackSmith、CodeCrafter、CodeWeaver、JetCode、DailyCode、ZenCoder。这种”打散马甲”的玩法有个好处:就算一个账号被举报封了,剩下六个照样能收割。
| 插件名称 | 插件 ID | 下载量 |
|---|---|---|
| DeepSeek Junit Test | org.sm.yms.toolkit | 1,121 |
| DeepSeek Git Commit | com.json.simple.kit | 1,894 |
| DeepSeek FindBugs | org.bug.find.tools | 1,485 |
| DeepSeek AI Chat | org.translate.ai.simple | 1,317 |
| DeepSeek Dev AI | com.yy.test.ai.simple | 740 |
| DeepSeek AI Coding | com.dev.ai.toolkit | 450 |
| AI FindBugs | com.json.view.simple | 623 |
| AI Git Commitor | com.my.git.ai.kit | 301 |
| AI Coder Review | org.check.ai.ds | 735 |
| DeepSeek Coder AI | com.review.tool.code | 3,498 |
| AI Coder Assistant | org.code.assist.dev.tool | 319 |
| DeepSeek Code Review | com.coder.ai.dpt | 278 |
| CodeGPT AI Assistant | com.my.code.tools | 25,571 |
| DeepSeek AI Assist | ord.cp.code.ai.kit | 27,727 |
| Coding Simple Tool | com.dp.git.ai.tool | 3,931 |
下载量分布挺有意思:前面十几款苟着发育了大半年,加起来也就一万出头。真正的收割发生在最后一周。6 月 9 日、10 日连续上架两款,一周之内就吃下五万多次下载,占了总量的大头。Aikido Security 的分析指出,短时间内这种爆发式增长,配合插件页面下一堆五星好评,多半是刷出来的。
更离谱的是变现方式
按常理,偷来的 key 要么自己用,要么打包卖到暗网,这事儿就算完了。但这批插件玩出了新花样:它内置了一个”捐赠”入口,你付点小钱,它就还给你一个能用的 API Key。
问题是,这个”发”给你的 key,很可能就是从别的免费用户那儿偷来的。免费用户负责往里填 key,付费用户负责把这些 key 用掉,账单最后算在最初填 key 的那批人头上。
攻击者两头收钱,一边收”捐赠”,一边收 key,中间不产生任何自己的算力成本。Aikido 的原话是这操作”离谱”,因为正常的 AI 服务商谁会随手把一个没有限制的付费 key 发给陌生人。代码逻辑也简单粗暴:客户端优先用服务器返回的 key,自己的 key 反而是备用项
现在就能做的两件事
第一,翻一下已安装插件列表。 打开 JetBrains 的插件管理页面,对照上面的表格查一遍插件 ID,不是插件名字,马甲名字很容易撞车。找到了,卸载,然后去对应的 AI 服务商后台把这个 key 直接吊销,而不是仅仅删掉。key 一旦离开过你的电脑,就该当它已经泄露处理。
第二,查一下有没有 connect 过 39.107.60.* 这个地址。 这是研究人员确认的 C2 服务器,走的是明文 HTTP,不是 HTTPS。如果你的防火墙或者代理日志里能翻到这条记录,说明 key 已经被拿走了,不只是”理论上有风险”。

这事不会只发生在 JetBrains
Aikido 自己在文章里提了一句,VS Code 生态也在被类似的供应链攻击盯上,比如同期还在活跃的 GlassWorm。
浏览器这边情况也不乐观。号称”广告拦截器”的 Smart Adblocker 和 Adblock for Browser,被发现悄悄劫持了 9万用户的ChatGPT、Claude、Gemini对话记录;坐拥 600 万装机量、评分 4.7 的 Urban VPN,从 2025 年 7 月的 5.5.0 版本起,默认把用户和 AI 对话的内容打包卖给了 数据经纪公司。
装机量、评分、”功能正常”,这些原本用来判断一个插件靠不靠谱的信号,这次全都失灵了。留给开发者的办法,说到底也只有一条:别信”看起来没问题”,去查它到底往哪儿发数据。