#安全资讯 字节编码工具 TRAE 被发现存在恶意插件问题,上游删除的恶意插件未从 TRAE 市场中同步删除。TRAE 同步开源市场 Open VSX 的插件库,但如果上游发现并删除恶意插件,TRAE 市场可能无法及时同步。这就有可能导致开发者实际下载安装的为恶意插件,进而引起信息泄露甚至供应链攻击。查看全文:https://ourl.co/113974
字节旗下的人工智能编码工具 TRAE 日前被开发者吐槽是毒窝,该工具会从 Open VSX 同步所有新发布或更新的插件 / 扩展程序,但如果上游发现恶意插件并删除后,字节并未及时同步执行删除,因此开发者从市场里安装的插件可能是带毒的。
TRAE 默认使用 Open VSX 插件市场,这是开源社区为 Microsoft Visual Studio Code 搭建的插件市场,任何人都可以向该市场发布插件,当然其他人或集成开发环境也可以通过该市场下载安装插件。字节的做法是检测 Open VSX 插件市场的更新,新发布的插件也可以立即同步并向开发者提供。
但潜在的安全问题是如果 TRAE 没有处理好同步问题就可能引起安全事件,开发者 @Will42W 称有明确安全隐患、木马并且被拉黑和下架的插件,TRAE 不会同步下架和拉黑,所以如果开发者通过 TRAE 市场搜索安装插件就有可能获取的插件带毒,这会导致数据被窃取甚至出现供应链攻击。
开发者 @Will42W 发帖时间是 2026 年 7 月 17 日 10 点,在 7 月 18 日 18:30,TRAE 团队回应称插件市场有安全同步机制,当上游也就是 Open VSX 删除恶意插件时,TRAE 也会在市场中执行同步删除。不过经过排查,安全同步机制曾出现短暂中断,会导致被删除的少数恶意插件在短时间内未能及时同步下架。
TRAE 称同步机制已经在 7 月 16 日修复,但 TRAE 并未透露故障的具体时间范围,只是强调会完善插件同步链路的监控与告警机制,避免类似问题再次发生。
知名安全研究人员 @余弦 经过验证同意开发者的说法,也就是 TRAE 确实存在毒窝行为,有些带有后门的插件在插件市场里生命力顽强、持续迭代更新。对于 TRAE 团队所说的同步机制短暂中断,@余弦 也并不认可,因为还有最新恶意插件被继续同步更新,可以说 TRAE 插件市场没有任何安全性。
建议长期使用 TRAE 的开发者最好还是直接从 Open VSX 市场下载插件而不是经过 TRAE 市场进行中转,对于社区发现有安全问题的插件,研究人员通常会立即报告给 Open VSX 执行删除操作,这种方式不经过 TRAE 市场中转,时效要更高。


