Extension VS Code Claude Code divulgue l'état de sélection entre fichiers fermés et nouvelles sessions

✍️ OpenClawRadar📅 Publié: May 14, 2026🔗 Source
Extension VS Code Claude Code divulgue l'état de sélection entre fichiers fermés et nouvelles sessions
Ad

Un utilisateur de Reddit (u/SportSpecialist2536) signale un bogue grave de fuite de données dans l'extension VS Code de Claude Code. L'état de sélection d'un fichier persiste après la fermeture de celui-ci et peut être consulté par une nouvelle session CLI claude, y compris les sélections effectuées uniquement pour un copier-coller dans le presse-papiers, et non pour le contexte IA.

Étapes de reproduction

  1. Ouvrez un fichier dans VS Code avec l'extension Claude Code installée.
  2. Sélectionnez deux lignes avec des valeurs reconnaissables (par exemple, FOO=abc / BAR=def).
  3. Fermez l'onglet du fichier.
  4. Ouvrez un fichier différent.
  5. Ouvrez un terminal dans la même fenêtre VS Code et exécutez claude (sans indicateurs).
  6. Demandez : "quel fichier est ouvert dans mon IDE ?"
  7. Observez s'il signale le contenu du fichier que vous avez fermé à l'étape 3.

L'incident

L'utilisateur a sélectionné deux lignes dans .env.production.local pour copier une clé de rôle de service Supabase dans un tableau de bord. Après avoir fermé le fichier et ouvert un fichier TypeScript non lié, une nouvelle session claude a signalé les lignes précédemment sélectionnées, y compris la clé publiable et la clé de rôle de service. Le pont IDE a mis en cache la sélection après la fermeture du fichier et l'a servie à une session qui aurait dû être vierge. Les clés ont été immédiatement révoquées.

Ad

Détails de configuration

  • OS : Windows 11
  • CLI Claude Code : 2.1.138
  • Extension VS Code : 2.1.140
  • Terminal : PowerShell dans le terminal intégré

L'utilisateur a signalé le problème sur GitHub avec tous les détails : #58886. Il demande spécifiquement aux utilisateurs macOS/Linux d'essayer la procédure de 60 secondes pour confirmer si le bogue est propre à Windows. Un commentaire rapide "reproduit sur [OS]" sur le problème aide au triage.

Le bogue plus spécifique (sélection persistant après la fermeture du fichier) semble corrigeable indépendamment de la question plus large "l'auto-attachement de l'IDE devrait-il être optionnel" du problème #24726 (ouvert depuis février).

📖 Read the full source: r/ClaudeAI

Ad

👀 See Also

Coldkey : Outil de génération de clés et de sauvegarde papier pour l'ère post-quantique
Security

Coldkey : Outil de génération de clés et de sauvegarde papier pour l'ère post-quantique

Coldkey génère des clés age post-quantiques (ML-KEM-768 + X25519) et produit des sauvegardes HTML imprimables d'une seule page avec des codes QR pour le stockage hors ligne.

OpenClawRadar
Grande Ouverture de Griffe : Risques de Sécurité liés aux Autorisations Laxistes des Bots Discord
Security

Grande Ouverture de Griffe : Risques de Sécurité liés aux Autorisations Laxistes des Bots Discord

Un chercheur en sécurité démontre comment OpenClaw peut être exploité lorsque les utilisateurs ajoutent le bot d'assistant IA à leur serveur Discord avec des permissions excessives, ciblant les utilisateurs qui accordent un accès root/admin sans tenir compte des contrôles de sécurité.

OpenClawRadar
Claude chatbot exploité dans une fuite de données du gouvernement mexicain
Security

Claude chatbot exploité dans une fuite de données du gouvernement mexicain

Un pirate informatique a utilisé le chatbot Claude d'Anthropic pour attaquer plusieurs agences gouvernementales mexicaines, dérobant 150 Go de données incluant des dossiers de contribuables et des identifiants d'employés. Le pirate a contourné les protections de Claude avec des invites pour générer des milliers de plans d'attaque détaillés.

OpenClawRadar
L'architecture Zero-Trust OpenClaw intègre une autorisation pré-exécution et une vérification post-exécution.
Security

L'architecture Zero-Trust OpenClaw intègre une autorisation pré-exécution et une vérification post-exécution.

Une architecture open source pour OpenClaw ajoute deux points de contrôle de sécurité : un sidecar Rust qui intercepte les appels d'outils avant exécution avec une surcharge d'autorisation inférieure à la milliseconde, et une vérification déterministe post-exécution utilisant des assertions au lieu du jugement d'un LLM. Le système inclut un traçage avec des instantanés DOM et des captures d'écran, plus une compétence de compression DOM qui réduit l'utilisation de tokens de 90 à 99 %.

OpenClawRadar