1-Click GitHub Token Stealing via a VSCode Bug

Ammar Askar 披露一个可导致 GitHub token 被窃取的 VS Code bug。标题中的 1-click 表明交互门槛很低，风险集中在 IDE、扩展或链接处理链路如何暴露开发者凭证。它对 coding-agent 时代尤其重要，因为 agent、IDE 和 GitHub token 的权限常常叠在同一个工作站里。