- 预审中
- 预审通过
- 3 已采纳
- 4 已实现
【产品缺陷】CodeArts IDE对于本地文件系统存在风险 已采纳 编辑 删除
- 华为云码道(CodeArts)代码智能体
- 软件开发生产线 CodeArts
场景描述:
CodeArts IDE程序在本地裸跑,具有本地系统的完整权限,对于用户的本地文件系统存在风险。
优化逻辑:
1、CodeArts IDE用户较复杂,考虑到会有不太懂代码的coder。
2、优势:使得程序运行更顺畅
3、劣势:可能出现的风险
- 恶意插件滥用权限
- 恶意代码与供应链攻击
- 敏感信息泄露:
拥有完整权限的IDE可以访问开发者机器上的所有文件,有能力读取并泄露极其敏感的信息,例如:源代码仓库中的 .env 环境变量文件;云服务商的凭证文件(如 ~/.aws/credentials);SSH私钥、数据库密码、API令牌等。
若 IDE 配置不当,可能将数据库密码、API 密钥、本地路径等敏感信息写入 .idea 或日志文件,并随代码误传至远程仓库。
- 间接提示注入风险:
IDE 会读取上下文文件,若内容被 “提示注入”(Prompt Injection)篡改,可能诱导 IDE 执行非预期操作。
参考图:
P1:初次调查结果参考图
P2:针对当前项目的调查参考图
P3:针对当前项目再次核实参考图
P4:调查了运行本地的利弊以及使用建议参考图
建议方案:
1、让程序在沙箱或者容器中运行,遵循 “最小权限原则”,以保护用户本地文件系统。
2、程序需要在沙箱外运行时,再向用户申请授权,同时详细告知用户授权的必要性和风险。
Espérer
发布于 2026-04-24 22:54:49
2026-04-24
345 1
0/1000
仅支持JPG、JPEG、PNG、GIF,数量不超过4张且每张大小不超过2MB
删除建议
全部评论(1)
评论(1)
非常感谢您的反馈,您的建议和诉求已经收到,并已提交至相关产品团队进行核查评估,评估完成后对于建议是否采纳会尽快给您答复,也请您持续关注云声平台,了解反馈建议处理进展,感谢您对华为云的支持!