JetBrains市集現15款惡意外掛，竊取開發者AI服務API金鑰

這批外掛累計安裝次數接近7萬次，最早版本出現在2025年10月底，直到2026年6月仍有新外掛發布。不過，研究人員也提醒，市集下載數可能遭發布者灌水，外掛頁面也有疑似假五星評價，因此實際受影響人數仍難以確認。

惡意外掛把竊取行為藏在設定儲存流程裡，當使用者在外掛設定頁輸入OpenAI、SiliconFlow或DeepSeek等AI服務的API金鑰，外掛會在使用者按下套用後，除了把金鑰保存在本機設定中，也會把金鑰送到一個寫死在程式裡的網路位址，而該傳送動作沒有提示使用者，也沒有出現在操作介面說明中。

部分外掛內建付費功能，使用者付款後，攻擊者的伺服器會回傳一組API金鑰，外掛之後會優先使用這組金鑰來呼叫AI模型，研究人員推測，攻擊者可能一邊蒐集部分使用者輸入的金鑰，一邊把可用金鑰提供給付費用戶。