2026 年 2 月发生的 CVE-2026-28353 事件,将 Trivy 这款广受欢迎的容器安全扫描工具推到了供应链安全的聚光灯下。该事件的核心并非传统的代码注入,而是攻击者利用 OpenVSX marketplace 的分发渠道漏洞,在 Trivy VS Code 扩展中植入了恶意代码,这些代码会调用本地安装的 AI 编码助手(Claude、Codex、Gemini、Copilot、Kiro 等)执行敏感信息收集与外传操作。此事件的深远意义在于揭示了现代开发工具生态中的新型攻击面 ——AI 助手正在成为供应链攻击的新型通道。本文将从修复流程、审计日志分析与可信发布链工程实践三个维度,探讨事件后的生态完整性验证体系建设,为开发团队提供可落地的技术参数与操作清单。
修复流程:从被动响应到主动验证
当安全事件曝光后,修复流程的效率直接决定了暴露窗口的长短。CVE-2026-28353 的影响版本为 1.8.12 和 1.8.13,这两个版本于 2026 年 2 月 27 日发布到 OpenVSX,仅在一天后被移除。这意味着所有在此窗口期内安装该扩展的开发者都处于风险之中。修复流程的第一优先级是确认受影响版本是否存在于本地环境,具体操作包括在 VS Code 中打开扩展管理界面,检查已安装的 Trivy 扩展版本号;若使用命令行工具,可通过code --list-extensions查看已安装扩展列表,定位aquasecurityofficial.trivy-vulnerability-scanner条目并核对其版本。一旦确认安装了 1.8.12 或 1.8.13,应立即执行卸载操作,并通过官方渠道重新安装干净版本。
版本重新安装时的验证尤为关键。官方建议从 VS Code Marketplace 而非 OpenVSX 获取扩展,因为后者在此次事件中暴露了分发链路的脆弱性。安装完成后,建议执行扩展完整性校验:比对该扩展在不同渠道的 SHA-256 校验和是否一致,同时检查扩展清单(extension/package.json)中的权限声明是否与预期相符。权限异常的扩展应立即标记为可疑并上报安全团队。此外,事件后的修复还需涵盖凭据轮换 —— 任何在受影响机器上使用过的环境变量、API 令牌、SSH 密钥均应视为可能泄露并予以更换,这是防止攻击者利用残留访问权限进行横向移动的关键步骤。
审计日志分析:识别异常行为的监控清单
审计日志是发现供应链入侵痕迹的核心数据源。针对此次 Trivy 事件,日志分析应聚焦于多个维度。首先是扩展执行日志,VS Code 的扩展主机进程(Extension Host)会在用户目录下生成日志文件,记录扩展的激活时间与执行行为。排查时应关注异常的时间窗口 —— 例如非工作时间的扩展自动激活、非项目目录下的扩展调用等。Socket 的安全分析指出,受影响的扩展会在每次打开工作区时触发恶意代码,这意味着日志中会出现与正常使用模式不匹配的高频激活记录。
其次是 AI 工具的执行痕迹。由于恶意代码通过调用本地 AI 助手实施数据收集,系统进程监控工具(如 Windows 的 Process Monitor 或 Linux 的 auditd)应能捕获到这些命令的启动。具体的 IOC(Indicator of Compromise)包括:带有--dangerously-skip-permissions参数的 Claude 调用、Codex 的--ask-for-approval never --sandbox danger-full-access组合参数、Gemini 和 Copilot 的--yolo模式启动,以及 Kiro CLI 的-a --no-interactive调用。这些命令均以 detached 模式执行且忽略标准输出,因此用户可能在不知不觉中被入侵。审计人员应在 shell 历史记录中搜索上述命令组合,同时检查是否存在名为REPORT.MD的异常文件生成 —— 这是 1.8.13 版本用于暂存收集数据的文件名。
GitHub 活动审计同样不可忽视。版本 1.8.13 的恶意代码包含使用gh CLI 创建名为posture-report-trivy仓库的指令。虽然截至目前尚未发现该仓库的公开实例,但用户仍需检查自己的 GitHub 账户活动日志,确认是否存在非本人操作的仓库创建或提交行为。CI/CD 流水线的日志也需纳入审查范围,因为攻击者可能利用获取的令牌对构建流程进行篡改。
可信发布链工程实践:构建纵深防御体系
此次 Trivy 事件暴露了开源扩展分发链路的根本性弱点。攻击者通过获取原发布者的个人访问令牌(PAT),成功向 OpenVSX 推送了恶意版本。这一路径的防护需要从发布流程的根节点开始重新设计。可信发布链的核心原则是将发布权限与日常开发权限严格分离。具体而言,负责发布到市场渠道的账户应启用双因素认证,且仅授权发布操作而不具备代码仓库的写权限;发布时使用的令牌应为短生命周期令牌(建议不超过 24 小时),并在每次发布完成后立即撤销;所有发布操作应记录详细的审计日志,包括发布时间、目标渠道、发布的版本号以及触发发布的触发源。
代码签名机制是可信发布链的技术保障。虽然 VS Code 扩展生态目前尚未强制要求代码签名,但开发者可以自行实现构建阶段的签名流程 —— 例如使用 GitHub Actions 的 OIDC(OpenID Connect)机制进行发布身份验证,确保每一次发布都能追溯到具体的构建流水线与提交记录。对于企业级使用场景,建议部署扩展白名单策略,仅允许从受信任的特定渠道(如官方 Marketplace)安装扩展,并禁止自动更新未知来源的扩展。VS Code 的extensions.autoUpdate与extensions.autoCheckUpdates配置项可帮助实现这一策略。
供应链安全的纵深防御还应涵盖依赖传递链的监控。Trivy 事件中,恶意代码并非传统意义上的恶意二进制,而是注入到扩展中的自然语言指令 —— 通过操控 AI 助手实现数据外传。这类攻击的检测需要超越传统的 SAST/DAST 工具,引入对扩展运行时行为的监控能力。建议团队在开发环境中部署端点检测与响应(EDR)解决方案,监控异常进程 spawn 行为;同时可利用 OpenVSX 提供的扩展分析接口,定期审计已安装扩展的权限声明与网络行为。
可落地参数与监控清单
为帮助开发团队快速建立验证能力,以下提供可操作的参数阈值与检查项清单。版本验证方面:若当前安装版本为 1.8.12 或 1.8.13,标记为高危并立即卸载;重新安装后验证版本应不低于 1.8.14 或官方公告的修复版本;SHA-256 校验和应与 GitHub Releases 页面发布的值完全匹配。日志检查方面:审计 VS Code 扩展日志中的激活时间戳,对比正常工作时间的分布;检查 shell 历史中是否存在上述 IOC 命令组合,搜索周期建议覆盖事件发生前后的完整月份;GitHub 审计日志中搜索posture-report-trivy仓库创建事件与gh repo create调用记录。凭据轮换方面:建议优先轮换在受影响机器上使用过的 GitHub 令牌、CI/CD 系统凭据、云服务商 API 密钥以及 SSH 私钥;轮换后验证各系统的访问权限是否正常恢复。
监控告警配置建议:针对 AI 工具的异常调用设置进程级监控,告警阈值可设为单小时内同一 AI 工具被调用超过 5 次且无用户交互;针对 GitHub 仓库创建事件配置 webhook 告警,监控范围应覆盖所有组织成员;针对环境变量访问行为(如process.env在非预期上下文中的读取)设置应用层监控。响应流程方面:一旦确认存在异常行为,应立即断开受感染机器的网络连接,保留完整镜像以供取证分析,然后逐步恢复服务并在后续 72 小时内密切监控凭据使用情况。
Trivy 供应链事件为整个开发者工具生态敲响了警钟。当 AI 编码助手日益成为开发工作流的标配时,它们同时也成为了攻击者可以利用的「隐形通道」。构建生态完整性验证体系不是一次性的修复动作,而是需要将验证能力嵌入到发布、部署、运行的完整生命周期中。只有当每个环节都具备了可审计、可验证、可追溯的能力,供应链安全才能从亡羊补牢走向防患于未然。
参考来源
- National Vulnerability Database: CVE-2026-28353. https://nvd.nist.gov/vuln/detail/CVE-2026-28353
- Socket 安全分析: Unauthorized AI Agent Execution Code Published to OpenVSX in Aqua Trivy VS Code Extension. https://socket.dev/blog/unauthorized-ai-agent-execution-code-published-to-openvsx-in-aqua-trivy-vs-code-extension