2026年6月2日,安全研究员Ammar Askar公开GitHub浏览器版VS Code(github.dev)的PoC漏洞。该漏洞利用Webview按键事件转发机制,通过恶意Jupyter Notebook伪造快捷键,诱导用户静默安装恶意扩展,进而读取并泄露GitHub OAuth Token,全程耗时不到30秒。漏洞影响github.dev环境,桌面版需用户主动克隆并打开恶意仓库,风险较低。Askar未经协调披露,称此前报告未获致谢。建议用户清除github.dev本地站点数据并卸载可疑扩展。微软尚未回应。
免责声明:本文内容由开放的智能模型自动生成,仅供参考。