Yapay zeka modelleri için API anahtarları toplayan eklentiler, resmi JetBrains pazarında göründü. Bilgisayarınızda kimlik bilgileri arayan tipik kötü amaçlı kodları içermezler, bunun yerine manuel olarak girilen bir anahtarı harici bir sunucuya iletirler.
Duyurudan sonra devamını okuyun
IntelliJ IDEA gibi JetBrains geliştirme ortamlarına yönelik eklentiler, esas olarak açıklamada belirtildiği gibi davranır: kod incelemeleri, birim testleri, hata arama ve diğer işlevler için dil modellerini kullanırlar.
Bu yazının yazıldığı an itibariyle, etkilenen eklentilerin en azından bir kısmını JetBrains Marketplace'te hâlâ bulabilirsiniz.
Harici bir sunucuya aktarım
Dil modellerini kullanmak için DeepSeek, OpenAI ve SiliconFlow ve diğerleri için bir API anahtarına ihtiyaç duyarlar. Bu anahtarı girdikten hemen sonra harici bir sunucuya iletin.
(Resim: AliaAyah / Shutterstock)
Haberler devSec 2026, 22 ve 23 Eylül'de Marburg'da gerçekleşecek. Bu yıl odak noktası, diğer şeylerin yanı sıra, güvenli yazılım tedarik zinciri ve yazılım geliştirmede Agentic AI'nın güvenlik yönü olacak.
Tedarik zinciri güvenlik firması Aikido, tümünün verileri HTTP yoluyla aynı IP adresine (39.107.60) açık metin olarak gönderdiği 15 paket keşfetti.[.]51) aktarıldı. Saldırganlar, anahtarları iletmek için kullanılan kodu gizlemek için herhangi bir yöntem kullanmazlar.
Çalınan anahtarlarla kullanım süresini yeniden mi satıyorsunuz?
Duyurudan sonra devamını okuyun
Saldırganlar muhtemelen çalınan anahtarları diğer kullanıcılara satıyor: Eklentiler küçük bir ücret karşılığında API anahtarını kullanabilmek için bir ödeme duvarı sunuyor.
Aikido'ya göre ilk eklentiler Ekim 2025'te, sonuncusu ise Haziran 2026'da ortaya çıktı. İndirme sayıları 300 ila 28.000 civarında. 15 eklentinin tamamı yaklaşık 70.000 kuruluma sahiptir. Eklentileri daha ilgi çekici hale getirmek için saldırganların kendileri tarafından ne kadar indirme yapıldığını anlamak mümkün değil.
Aşağıdaki eklentiler etkilenir:
- DeepSeek Junit Testi (org.sm.yms.toolkit)
- DeepSeek Git Taahhüdü (com.json.simple.kit)
- DeepSeek FindBugs (org.bug.find.tools)
- DeepSeek Yapay Zeka Sohbeti (org.translate.ai.simple)
- DeepSeek Dev AI (com.yy.test.ai.simple)
- DeepSeek Yapay Zeka Kodlaması (com.dev.ai.toolkit)
- AI FindBugs (com.json.view.simple)
- AI Git Commitor (com.my.git.ai.kit)
- AI Kodlayıcı İncelemesi (org.check.ai.ds)
- DeepSeek Coder AI (com.review.tool.code)
- Yapay Zeka Kodlayıcı Yardımcısı (org.code.assist.dev.tool)
- DeepSeek Kod İncelemesi (com.coder.ai.dpt)
- CodeGPT Yapay Zeka Asistanı (com.my.code.tools)
- DeepSeek AI Yardımı (ord.cp.code.ai.kit)
- Basit Kodlama Aracı (com.dp.git.ai.tool)
Bunlardan birini kurmuş olan veya kurmuş olan herkes, girilen anahtarların tehlikeye girdiğini düşünmelidir.
(Ben)

Bir yanıt yazın