2026-01-18 03:24:43

Tim keamanan mengingatkan para pengembang untuk memperhatikan risiko IDE yang mudah diabaikan. Termasuk Cursor, VS Code, Antigravity, TRAE, semua lingkungan pengembangan terintegrasi berbasis Visual Studio Code memiliki masalah potensial — fungsi otomatis menjalankan tasks dapat menjadi celah bagi kode berbahaya.

Secara spesifik, jika Anda membuka direktori proyek yang berisi konfigurasi tugas berbahaya, IDE akan secara otomatis memicu tasks tersebut, menyebabkan kode berbahaya dieksekusi langsung di lingkungan pengembangan Anda. Ini sangat berisiko bagi pengembang yang sering berganti proyek dan mengunduh kode dari internet.

Disarankan segera memeriksa pengaturan IDE Anda, cari opsi "otomatis menjalankan tugas" atau fitur serupa dan matikan. Ini dapat secara efektif mencegah skrip berbahaya dijalankan secara pasif saat membuka direktori yang tidak terpercaya. Terutama bagi pengembang yang menangani kontrak pintar DeFi atau kode sensitif lainnya, penting untuk memperhatikan hal ini. Luangkan beberapa detik untuk menonaktifkan fitur ini, jauh lebih baik daripada harus menangani kebocoran kode atau pencurian dompet setelahnya.

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.

11 Suka

Hadiah
11
10
Posting ulang
Bagikan

Komentar

0/400

MoodFollowsPrice

· 22jam yang lalu

艹，VS Code ini fitur tugas otomatis sudah lama harus dimatikan, siapa sangka ini bisa dimanfaatkan oleh hacker --- Pengembang DeFi, perhatikan ya, kali ini benar-benar berisiko, segera periksa pengaturan IDE --- Ya ampun, sebelumnya saya sama sekali tidak terpikir membuka folder proyek bisa diam-diam menjalankan kode, celah keamanan ini benar-benar gila --- Tunggu, saya lupa mematikan fitur tugas otomatis ini, terima kasih sudah mengingatkan, hampir saja kena --- Mengapa tidak ada yang bilang lebih awal tentang ini? Pelajaran dari dompet yang diretas sudah cukup keras --- Cukup matikan saja, memang tidak repot, tapi bisa menyelamatkan nyawa --- Di zaman sekarang, banyak hal yang harus diwaspadai saat pengembangan, bikin pusing

Lihat AsliBalas0

MidnightSnapHunter

· 01-20 23:00

卧槽这个漏洞真的绝了，我之前就是这样被坑过，打开个github项目直接执行了恶意脚本立马去关，别等着钱包被清空再后悔 DeFi开发者更要小心，这种事防不胜防啊咦这玩意儿早该有预警吧，怎么现在才说... 关键是很多人根本不知道这功能存在，我身边就有不少一键关闭就完事，为啥很多人还要纠结呢

Balas0

governance_lurker

· 01-19 14:14

卧槽，这个漏洞确实恶心，直接在本地执行？那我得赶紧检查一下我的Cursor了 --- DeFi开发者看到这个得吓出冷汗吧，钱包直接没了都有可能 --- 就因为这么个自动运行功能？太离谱了，怪不得最近听说有人被"污染"了项目 --- 话说有多少人其实根本没注意到这个设置存在... --- 关键是那些从GitHub随便拉的repo，谁还逐个检查task配置啊 --- 这就是为什么我讨厌IDE"智能"帮你做决定，关了关了 --- 安全这块真的，开发者自己得长点心，不然天天被捅屁股

Balas0

LayerZeroHero

· 01-19 09:22

WTF, benda ini ternyata sangat berbahaya, aku setiap hari sembarangan menarik kode dari GitHub... harus segera matikan fitur ini

Lihat AsliBalas0

SatsStacking

· 01-18 03:53

Sial, kenapa tugas otomatis di VS Code ini begitu jebakan? Untung saya melihat peringatan ini, kalau tidak, saat mengunduh sebuah proyek bisa terjebak di dalamnya

Lihat AsliBalas0

ForkThisDAO

· 01-18 03:53

WTF, kerentan ini cukup menakutkan, Cursor saya tidak pernah dimatikan... --- Pengembang DeFi harus memperhatikan ini, benar-benar dompet langsung hilang --- Seharusnya sudah ada yang keluar membahas ini, menjalankan tugas berbahaya secara diam-diam terlalu gila --- Saya bilang kenapa kadang-kadang saat membuka proyek tiba-tiba muncul sesuatu, ternyata begini ceritanya --- Matikan, matikan, cuma butuh dua menit, harus menunggu pencurian baru menyesal? --- Di zaman ini bahkan IDE pun tidak bisa dipercaya, pengembang benar-benar sulit --- Hah? Saya beberapa proyek mungkin terkena dampak, sekarang langsung ubah pengaturan --- Kenapa VSCode tidak secara default mematikan fitur ini, agak aneh --- Teman-teman pengembang kontrak, sebarkan ini segera, sangat penting

Lihat AsliBalas0

WalletManager

· 01-18 03:52

Pegang erat token, tapi juga harus pegang erat kunci pribadi, bro... Kerentanan IDE ini sebenarnya adalah masalah "konfigurasi izin yang tidak tepat" yang umum ditemukan dalam audit kontrak, dan tingkat risikonya langsung maksimal. Saya sudah lama mematikan fitur ini, mengingat sudah bertahun-tahun menganalisis di chain, dan telah melihat banyak kasus dompet meledak karena eksekusi otomatis.

Lihat AsliBalas0

Degentleman

· 01-18 03:46

卧槽，这个坑我居然没注意到，赶紧去关一下 --- DeFi那边的兄弟们得看看这个，真的能搞你钱包 --- 天天下载陌生代码的人这回得吃教训了 --- 几秒钟的事儿，不关才是活该 --- Cursor用户默默关闭中，后怕 --- 这要是被利用了得多尴尬，赶紧传给队友 --- 为什么这种风险这么隐蔽...IDE这设计有点绝啊 --- 我就说最近莫名其妙的进程，原来可能是这个鬼东西

Balas0

PancakeFlippa

· 01-18 03:44

Saya sangat terkejut, ini benar-benar perlu diperhatikan, rasanya banyak orang tidak menyadarinya --- Ini lagi-lagi masalah VS Code, seharusnya fitur ini sudah diperbaiki sejak lama --- Pengembang DeFi harus memperhatikan, wallet yang diretas benar-benar sangat menyebalkan --- Astaga, jika kode kontrak dieksekusi seperti ini... membayangkannya saja sudah menakutkan --- Untungnya saya selalu menjalankan secara manual, fitur eksekusi otomatis ini tidak pernah saya aktifkan --- Inilah mengapa harus memeriksa konfigurasi .vscode orang lain sebelum melihat proyek mereka, jika tidak, sangat mudah tertipu --- Sekarang semuanya otomatisasi, malah menjadi celah keamanan terbesar --- Tidak heran beberapa proyek airdrop mudah gagal, mungkin memang seperti itu yang terjadi

Lihat AsliBalas0

DaoTherapy

· 01-18 03:31

卧槽，这个漏洞确实挺阴的，自动执行任务根本防不胜防啊 --- 我靠，DeFi开发者们真得赶紧关这玩意儿，不然血本无归 --- 这就离谱了，打开个项目就给你偷偷跑代码，还有这种操作 --- 赶紧检查了一遍，还好我早就关掉了，但估计很多人根本不知道有这回事 --- 智能合约开发必读，认真的话就几秒钟的事儿，别赌气 --- 妈呀为什么之前没人讲这个，在这个圈子混太危险了 --- Cursor用户该醒醒了，检查一下自己的设置吧各位

Balas0

Lihat Lebih Banyak