VS Code Zero-Day: Jak jediné kliknutí může ukrást váš GitHub OAuth token

Otevřeně prohlásil, že „nemá zájem“ znovu absolvovat proces MSRC . Dřívější chyba byla původně nahlášena do programu HackerOne na GitHubu, kde mu výslovně sdělili, že je mimo rozsah programu a má se obrátit na MSRC — byrokratická přihrávka, která zanechala nález bez kompenzace i uznání .

Jak útok funguje: Čtyřfázový řetězec

Exploit propojuje tři zranitelnosti do plynulého řetězce, který obchází veškeré bezpečnostní hranice, jež github.dev má.

1. Přeposílání klávesových událostí z webview

Webview ve VS Code — izolované karantény (sandboxy), které vykreslují Jupyter Notebooky, náhledy Markdown a podobný obsah — jsou navrženy jako bezpečné oddíly. Aby v nich však fungovaly klávesové zkratky, editor přeposílá klávesové události z karanténního webview do procesu hlavního editoru .

2. Vložení syntetických stisků kláves

Škodlivý Jupyter Notebook uvnitř útočníkova repozitáře odešle syntetické klávesové události (Ctrl+Shift+A, Ctrl+F1) z karanténního webview přímo do hlavního okna VS Code . Tyto stisky kláves v tichosti spustí příkaz „Install Extension“ a obejdou dialog pro ověření důvěryhodnosti vydavatele, který normálně blokuje nedůvěryhodná rozšíření .

3. Důvěra v lokální rozšíření pracovního prostoru

Útočníkův repozitář obsahuje předpřipravené VS Code rozšíření uložené ve složce .vscode/extensions. Protože github.dev považuje rozšíření dodávaná společně s pracovním prostorem za implicitně důvěryhodná, škodlivé rozšíření se nainstaluje zcela bez výzvy k udělení souhlasu uživatele .

4. Exfiltrace OAuth tokenu

Jakmile je škodlivé rozšíření spuštěno, získá plný přístup k běhovému prostředí github.dev. Toto prostředí obsahuje GitHub OAuth token, který github.com v tichosti metodou POST předává na github.dev při každém otevření repozitáře. Kritické je, že tento token není omezen rozsahem pouze na právě otevřený repozitář — nese veškerá přístupová oprávnění uživatele . Rozšíření token extrahuje, dotáže se GitHub API na seznam soukromých repozitářů oběti a exfiltruje token i metadata repozitářů útočníkovi .

Výsledek: kompletní oprávnění ke čtení i zápisu do všech veřejných i soukromých repozitářů, ke kterým má oběť přístup, a to vše jediným kliknutím na odkaz .

Reakce Microsoftu

Microsoft potvrdil existenci zranitelnosti 2. června 2026 a uvedl, že byla zmírněna pro jeho služby — konkrétně github.dev a VS Code pro web .

Dne 3. června Microsoft nasadil opravy na straně serveru, včetně kroku pro potvrzení důvěry při otevírání notebooků v prohlížeči a zablokování příkazu pro instalaci rozšíření, který přijímal libovolné informace o volajícím . Do 4. června byla nasazena další omezení pro zpracování událostí webview .

Microsoft uvedl, že se problém netýká desktopové verze VS Code . Základní princip — důvěra v rozšíření pracovního prostoru bez dostatečného ověření — však vyvolává obavy pro každého uživatele VS Code, který lokálně otevírá nedůvěryhodné repozitáře.

Čím je tento případ výjimečný

Tento útočný řetězec je pozoruhodný ze tří důvodů.

Zaprvé, útočnou plochou je URL adresa. Oběti nemusí stahovat soubor, otevírat terminál ani schvalovat oprávnění. Jediným předpokladem je odkaz v prohlížeči na github.dev.

Zadruhé, rozsah tokenu je znepokojivě široký. OAuth token, který github.com předává na github.dev, není omezen pouze na prohlížený repozitář. Nese veškerá oprávnění uživatele na GitHubu, což znamená, že útočník, který kompromituje vývojáře pracujícího na veřejném open-source projektu, získá také přístupové údaje k soukromým repozitářům zaměstnavatele tohoto vývojáře .

Zatřetí, důvěra v pracovní prostor je obrácena naruby. Funkce, která usnadňuje lokální vývoj — tedy důvěra v rozšíření dodávaná s projektem — se stává samotným mechanismem, který škodlivému obsahu umožní automatické spuštění.

AI agent OpenClaw: Pět zero-day chyb umožňujících zneužití identity

V souběžném odhalení zveřejnili výzkumníci pět zero-day zranitelností ve frameworku pro AI agenty OpenClaw, které útočníkům umožňují vydávat se za uživatele na seznamu povolených (allowlist) a převzít důvěryhodný přístup AI agenta napříč různými komunikačními platformami .

Hlavní příčina je architektonická: OpenClaw podporuje 15 různých adaptérů kanálů — Telegram, Slack, Discord, WhatsApp a další — a každý adaptér nezávisle implementuje vlastní autorizaci pomocí seznamu povolených (allowlist) a ověřování webhooků . Bezpečnostně kritická pole identity používaná pro allowlist, jako jsou člověkem čitelné zobrazované jména, jsou na úrovni platformy měnitelná a napříč adaptéry jsou na stabilní uživatelská ID převáděna nejednotně .

Protože neexistuje žádná centralizovaná vrstva pro vynucování bezpečnostní politiky, útočníci mohou:

• Vydávat se za povoleného uživatele na jednom kanálu pouhou změnou svého zobrazovaného jména tak, aby odpovídalo autorizované identitě .
• Zneužít nejednotné rozpoznávání identity napříč různými rozšířeními kanálů k obejití kontrol důvěryhodnosti, které fungují na jednom kanálu, ale selhávají na jiném .
• Převzít přístupová oprávnění AI agenta — která často zahrnují přístup k shellu, API klíčům a oprávněním k souborovému systému — bez potřeby jakýchkoli platných přihlašovacích údajů .

Bezpečnostní analýza arXiv z 3. června 2026 identifikovala zranitelnosti napříč několika architektonickými vrstvami (politika provádění, brána, kanál, sandbox, prohlížeč, plugin a prompt), přičemž dominantním strukturálním vzorcem bylo vynucování důvěry na úrovni jednotlivých vrstev a míst volání namísto jednotných hranic bezpečnostní politiky . Analýza zjistila, že jednotlivé architektonické slabiny lze složit do kompletních cest umožňujících neautentizované vzdálené spuštění kódu .

Singapurská Agentura pro kybernetickou bezpečnost (CSA) vydala koncem května 2026 varování před neopravenými zranitelnostmi, slabou kontrolou přístupu a rizikem škodlivých dovedností třetích stran na tržišti ClawHub .