AI Agent系VSCode拡張のソースコード露出脆弱性を報告し、無視されました

脆弱性報告で GitHub から $4,000 貰った話
https://zenn.dev/dinii/articles/0bf9e893c7879c

trufflehog
https://github.com/trufflesecurity/trufflehog

Chrome Extensions Vulnerability Reward Program Rules
https://bughunters.google.com/about/rules/chrome-friends/chrome-extensions-vulnerability-reward-program-rules

====
目次
====
0:00 イントロ
0:28 調査をしようと思った経緯
1:37 調査対象：HackerOneの企業リスト
3:21 VSCode拡張を収集
4:23 スキャンした結果
5:27 OSSではない拡張を収集する
8:00 報告をした経緯
8:55 無視された
9:49 trufflehogによるスキャン
12:24 Chrome拡張も調査した

====
SNS
====

●X
https://x.com/naoyashiga

●Threads
https://www.threads.com/@naoya_tech

●直也テック TikTok

@coding_youtuber

====
低レイヤー自作を行う学習教材
====
バックエンドや要素技術を自作して学びたい方はCodeCraftersがおすすめです。

Claude Code,
インタプリタ, Shell, grep, Redis, HTTP Server
Docker, BitTorrent, Kafka, Git
SQLite, DNS Server
を自作して学べます。多くのプログラミング言語に対応。Rustも！

👇このリンクから登録すると40%OFFになります。
https://app.codecrafters.io/join?via=naoyashiga

CodeCraftersを紹介した動画。

AI Agent系VSCode拡張のソースコード露出脆弱性を報告し、無視されました

————

●お仕事のご依頼はこちらから
https://www.naoya-tech.com

●BGM素材
BGMer

Home(top page)

#vscode #エンジニア