Trae помогает писать код и... отправляет его конкурентам? Расследование от Unit 221B
Каждый файл, который ты ещё не сохранил, уже давно гуляет по серверам, и, возможно, его даже лайкнули.
Исследователи из команды Unit 221B, внимательно изучившие приложение Trae для macOS, обнаружили , что оно постоянно взаимодействует с серверной инфраструктурой ByteDance через несколько каналов связи. Эта архитектура позволяет компании непрерывно получать информацию о поведении пользователя, состоянии системы, а также полное содержание редактируемых файлов. Идентификация устройств ведётся через уникальный идентификатор, связанный с оборудованием, что делает возможным длительное отслеживание даже после переустановки приложения.
Особенно важным аспектом стало наличие постоянных подключений к серверам компании, которые передают телеметрию каждые 30 секунд даже при полном отсутствии активности пользователя. Помимо стандартных HTTPS-запросов, внутри Trae также задействованы локальные WebSocket-соединения, которые передают полный текст всех файлов и информацию об аутентификации пользователя. Всё это потенциально увеличивает риски несанкционированного доступа к конфиденциальной информации.
Кроме того, ByteDance активно использует глобальную инфраструктуру Akamai, что позволяет эффективно сегментировать и обрабатывать данные по всему миру. Исследователи отмечают, что подобные сложные системы телеметрии обычно встречаются в корпоративных продуктах, но их присутствие в бесплатном приложении для разработчиков вызывает серьёзные вопросы с точки зрения приватности и безопасности.
Unit 221B предупреждает, что такие инструменты, несмотря на внешнюю привлекательность и удобство, могут стать причиной серьёзных рисков, особенно если речь идёт о конфиденциальной разработке и интеллектуальной собственности. Поэтому важно понимать, как именно осуществляется сбор и передача данных, и принимать осознанное решение о применении подобных технологий в рабочих процессах.
Исследователи подчёркивают, что эта практика не уникальна и отражает распространённую бизнес-модель, когда компании предоставляют бесплатные услуги, собирая взамен данные пользователей для дальнейшего анализа и использования. Именно поэтому Trae становится ярким примером того, как современные инструменты разработки на основе ИИ способны превращаться в продвинутые системы сбора данных, которые заслуживают особого внимания со стороны специалистов по информационной безопасности.
Unit 221B продолжит следить за развитием подобных решений, чтобы своевременно предупреждать разработчиков и организации о потенциальных угрозах и рисках, связанных с новыми инструментами на базе искусственного интеллекта.