Extension VS Code Claude Code divulgue l'état de sélection entre fichiers fermés et nouvelles sessions
Un utilisateur de Reddit (u/SportSpecialist2536) signale un bogue grave de fuite de données dans l'extension VS Code de Claude Code. L'état de sélection d'un fichier persiste après la fermeture de celui-ci et peut être consulté par une nouvelle session CLI claude, y compris les sélections effectuées uniquement pour un copier-coller dans le presse-papiers, et non pour le contexte IA.
Étapes de reproduction
- Ouvrez un fichier dans VS Code avec l'extension Claude Code installée.
- Sélectionnez deux lignes avec des valeurs reconnaissables (par exemple,
FOO=abc/BAR=def). - Fermez l'onglet du fichier.
- Ouvrez un fichier différent.
- Ouvrez un terminal dans la même fenêtre VS Code et exécutez
claude(sans indicateurs). - Demandez : "quel fichier est ouvert dans mon IDE ?"
- Observez s'il signale le contenu du fichier que vous avez fermé à l'étape 3.
L'incident
L'utilisateur a sélectionné deux lignes dans .env.production.local pour copier une clé de rôle de service Supabase dans un tableau de bord. Après avoir fermé le fichier et ouvert un fichier TypeScript non lié, une nouvelle session claude a signalé les lignes précédemment sélectionnées, y compris la clé publiable et la clé de rôle de service. Le pont IDE a mis en cache la sélection après la fermeture du fichier et l'a servie à une session qui aurait dû être vierge. Les clés ont été immédiatement révoquées.
Détails de configuration
- OS : Windows 11
- CLI Claude Code : 2.1.138
- Extension VS Code : 2.1.140
- Terminal : PowerShell dans le terminal intégré
L'utilisateur a signalé le problème sur GitHub avec tous les détails : #58886. Il demande spécifiquement aux utilisateurs macOS/Linux d'essayer la procédure de 60 secondes pour confirmer si le bogue est propre à Windows. Un commentaire rapide "reproduit sur [OS]" sur le problème aide au triage.
Le bogue plus spécifique (sélection persistant après la fermeture du fichier) semble corrigeable indépendamment de la question plus large "l'auto-attachement de l'IDE devrait-il être optionnel" du problème #24726 (ouvert depuis février).
📖 Read the full source: r/ClaudeAI
👀 See Also
Sécurité des agents IA : Le budget des tokens détermine le risque d'exfiltration de données
Un développeur a testé des agents IA connectés à Gmail : les modèles de pointe ont détecté le phishing, les modèles intermédiaires étaient instables, et les modèles bon marché ont transmis silencieusement des e-mails malveillants. Les protections architecturales (sandboxing, permissions) n'ont arrêté aucune tentative.
Claw Hub et Hugging Face frappés par 575 packages de compétences malveillants
Claw Hub et Hugging Face ont tous deux été compromis, hébergeant 575 packages de compétences malveillants. Les développeurs sont invités à vérifier toute compétence qu'ils utilisent provenant de ces plateformes.
Analyse des capacités d'instrumentation et de télémétrie de Claude Code
Une analyse du code source révèle que Claude Code implémente un suivi comportemental étendu incluant la classification des sentiments basée sur des mots-clés, la surveillance des hésitations lors des demandes d'autorisation, et une empreinte environnementale détaillée.
Les cybercriminels résistent au contenu généré par l'IA sur les forums clandestins
De nouvelles recherches montrent que les pirates et escrocs de bas niveau se plaignent des publications générées par l'IA sur les forums de cybercriminalité, les considérant comme un bruit de faible qualité qui mine la confiance communautaire et les interactions sociales.