安全研究员Ammar Askar在Visual Studio Code(含github.dev浏览器版)发现零日漏洞后,约1小时即公开PoC,引发社区对「负责任披露」边界的争论。
漏洞机理
问题涉及github.dev环境中OAuth Token权限范围超出当前仓库、恶意扩展与Jupyter Notebook自动安装绕过等组合利用路径,可能导致代码与令牌泄露。
流程反思
研究员称此前向微软MSRC报告漏洞时未获应有认可,导致信任破裂。事件提醒软件平台厂商:在AI时代漏洞赏金与研究员关系管理,直接影响开源生态安全协作效率。