VS Code가 Copilot을 슬쩍 공동저자로 박았다
EDIBLOG · DEVTRENDS · 2026.05.13
VS Code가 Copilot을 슬쩍 공동저자로 박았다
결론. 커밋 메시지가 신뢰의 단위라는 사실이 다시 드러난 한 주입니다. VS Code 1.118이 동의 없이 'Copilot 공동저자' 트레일러를 박았고, 1.119에서 기본값이 롤백됐어요. 옆에서는 Linux RAT·Canvas LMS 사고가 같이 났습니다.
01 · MAIN한 줄 설정이 커밋을 흔들었어요
disableAIFeatures 무시
PR #310226 한 줄 변경
롤백
비-Copilot 코드 오인 버그 수정
MS 공식 사과 게시
동작은 단순해 보이는데 위치가 문제였습니다. 사용자가 메시지 검토를 끝내고 git commit 이 실행되기 직전, 그 사이에 'Co-Authored-by: Copilot' 트레일러가 슬쩍 따라붙었어요. 즉 마지막 체크 포인트 뒤에서 자동 삽입된 거예요. 게다가 chat.disableAIFeatures=true 옵션도 우회되는 버그까지 같이 있었습니다. 5/6 1.119 롤아웃에서 기본 off 로 되돌리고 Microsoft 가 공개 사과했어요.
02 · INCIDENTLinux RAT 이 DevOps 자격증명을 노립니다
"Linux 전용 RAT 'QLNX' 가 DevOps 인증을 수집해 소프트웨어 공급망 침해로 잇고 있습니다."
대응: SSH 키·환경변수 자격증명 회전, 빌드 환경 격리 권장. 파일리스 실행 + 듀얼 루트킷 은닉 조합이라 EDR 가시성 떨어집니다. CI 러너의 장기 토큰부터 우선 회수하는 게 빠른 차단점이에요.
03 · INCIDENTCanvas LMS — 교육 LMS 사상 최대 유출
"Canvas LMS 로그인 페이지가 랜섬 메시지로 바뀌었고, 3.65TB 데이터가 인질이 됐어요."
경위: Instructure 가 5/7 재공격(로그인 페이지 점거)을 확인. 학생·교사 메시지·이메일·학번 포함. 5/11 사과 + 5/12 공격자와 협상 합의로 데이터 파기 발표. 교육 LMS 사상 최대 규모 — 도입 검토 중인 팀은 데이터 처리 약관 재확인 필요합니다.
04 · SIDE한 가지 더 — 에이전트·MCP 쪽 신규
DevTools MCP
Trending
Cloud Agents
skills
방향은 일관됩니다. MCP 어댑터로 'AI 가 직접 도구를 호출'하는 흐름이 IDE·브라우저·CI 전 영역에서 동시에 자리잡고 있어요. Chrome DevTools MCP 는 브라우저 진단·인스펙트를 에이전트가 다룰 수 있게 풀었고, Copilot Cloud Agents 는 조직 단위 시크릿 분리로 권한 모델을 다듬었습니다.
"VS Code 사건은 '한 줄 설정 변경'이 신뢰를 흔든다는 걸 다시 보여줬습니다 — 1인 개발자라도 자동 트레일러는 직접 가드 둬야 해요."
— 에디 · 2026.05.13
제 다음 한 주 체크리스트는 1) VS Code 1.119 강제 업데이트 확인, 2) Linux 빌드 러너 토큰 회수, 3) Canvas 연동 서비스 약관 재검토 세 가지입니다.
면책: 정보 제공 목적. 보안 대응은 본인 환경 검토 후 적용.
'개발 트렌드 > 데일리 픽' 카테고리의 다른 글
| Copilot이 신규 가입을 막았다 — 6월 1일부터 토큰 과금 (0) | 2026.05.15 |
|---|---|
| AI가 만든 zero-day가 처음 잡혔다 — 공급망 보안의 줄이 끊겼습니다 (0) | 2026.05.14 |
| Anthropic이 SpaceX를 통째로 빌렸다 — 화요일 개발 트렌드 (0) | 2026.05.12 |
| Canvas 한 번에 8,809개 학교 다운 — 5월 둘째주 개발 트렌드 (0) | 2026.05.11 |
| 방화벽이 root로 털렸다 — 5월 둘째 주 개발 트렌드 (0) | 2026.05.10 |
📚 같이 보면 좋은
"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 일정액의 수수료를 제공받습니다."