发现了什么
扒源码的开发者发现,这个插件的遥测范围超出常规:不只是匿名的使用统计,连用户的提示词内容也在上报之列。提示词里有什么?代码片段、内部架构、业务逻辑,对开发者来说和源代码同级的敏感信息。Vercel 方面的回应和补救是后话,事件先把一个问题钉在公告板上:你给代理装的每个插件,都有能力看到你和代理的全部对话。
插件生态的结构性风险
代理工具的插件生态正在野蛮生长,而它的权限模型还停留在「装了就全信」的阶段:插件运行在代理的上下文里,能读对话、能调工具、能访问文件,细粒度的权限控制和审计几乎空白。浏览器扩展生态用了十几年才补上的课,代理插件得重修一遍,而代理上下文里的数据敏感度比浏览历史高得多。在权限体系成熟之前,务实的建议只有笨办法:装前看源码或至少看声誉,敏感项目里少装、不装,定期审一遍已装清单。
via: Hacker News