VSCode 漏洞可被用于窃取 GitHub Token安全研究者披露，攻击者可能通过诱导用户点击 github.dev 链接，利用 VSCode Webview 的键盘事件处理问题安装扩展，从而读取 GitHub API Token，并访问用户有权限的仓库，包括私有仓库

1. 14:32 · Jun 3, 2026 · Wed

   

   ×

   

   VSCode 漏洞可被用于窃取 GitHub Token
   
   安全研究者披露，攻击者可能通过诱导用户点击 github.dev 链接，利用 VSCode Webview 的键盘事件处理问题安装扩展，从而读取 GitHub API Token，并访问用户有权限的仓库，包括私有仓库。
   
   该问题也存在于桌面版 VSCode，但利用门槛更高。研究者建议清除 github.dev 的站点数据；如果已运行 PoC，还应卸载相关测试扩展。
   
   Ammar's Blog
   
   🌸 在花频道 · 备用频道 · 投稿通道

   ⭐ 5 🤯 212 🍾 9 ❤️ 8 ⚡ 4 😁 4 😱 2 👍 1