.gif)
비주얼 스튜디오 코드 대비 3.6배 많은 프로세스 실행…텔레메트리 차단해도 무용지물
하드웨어 지문부터 사용패턴까지… 바이트댄스, 틱톡·딥시크 이어 또 데이터 수집 의혹
[보안뉴스 여이레 기자] 틱톡 모기업 바이트댄스가 개발한 AI 코딩 도구 ‘트레이(TRAE) IDE’가 사용자 몰래 과도한 개인정보를 수집해 중국 본사 서버로 전송한다는 의혹이 제기됐다.
트레이 IDE는 맥OS와 윈도우 환경에서 무료로 제공되며, GPT-4o 및 클로드 등 다양한 AI 모델을 탑재했다. 커서나 깃허브 파일럿 등의 AI 코딩 도구와 경쟁한다.
[자료: 트레이 홈페이지]
최근 트레이가 마이크로소프트 비주얼 스튜디오 코드나 커서 등 다른 AI 코딩 도구에 비해 훨씬 많은 시스템 자원을 소모한다는 주장을 한 개발자가 깃허브에 올렸다. 이는 헤커뉴스 등 개발자들이 주로 활동하는 온라인 포럼에서 논란이 되고 있다.
‘segmentationf4u1t’라는 아이디를 쓰는 이 개발자는 트레이가 비주얼 스튜디오 코드를 포크해 만들어졌음에도 더 많은 자원을 소모하는 것에 의문을 제기했다.
비주얼 스튜디오 코드가 9개의 프로세스를 실행하는데 반해, 트레이는 프로세스 33개를 실행했다. 프로세스 실행 수가 비정상적으로 많다는 점은 데이터 수집, 감시, 전송에 프로세스가 이용되고 있다는 의심을 불러일으킨다.
또 트레이는 사용자 활동을 지속적으로 추적하는 ‘텔레메트리(원격 데이터 수집)’가 꺼져 있어도 계속해서 사용자 정보를 수집했다. 트레이는 사용자 활동을 추적하고 하드웨어 사양, 운영체제 및 아키텍처 세부사항, 사용 패턴, 고유 식별자, 프로젝트 정보 등 상세한 정보를 수집해 중국 서버로 전송했다.
문제를 제기한 개발자는 “표준 설정 인터페이스를 통해 텔레메트리를 비활성화 하려 했지만 네트워크 활동이 줄어들지 않았다”며 “오히려 데이터 수집 빈도가 증가했다”고 밝혔다.
이 문제는 2.0.2 버전이 나오면서 사그라드는 듯했다.
하지만 이 개발자는 “지속적 네트워크 모니터링과 외부 연결에서 트레이의 진짜 문제가 시작된다”고 지적했다. 트레이는 byteoversea.com 최상위 도메인의 3개 엔드포인트에 지속적으로 연결되는 것으로 나타났다. 바이트댄스 소유 3개의 서버 주소에 계속해서 데이터를 보내고 있다는 의미다.
이 개발자가 공유한 네트워크 활동 스크린샷과 차단된 페이로드에는 하나의 데이터 패킷에 user_id, device_id, machine_id, biz_user_id, user_unique_id 등 여러 개의 지속적 사용자 식별자와 특정 CPU 모델, 정확한 RAM 용량, 마더보드 제조업체 등 상세한 하드웨어 지문이 포함돼 있었다.
그는 “이러한 정보가 사용자 설정과 관계없이 바이트댄스로 전송된다”며 “여러 개의 지속적 식별자가 장기 추적을 가능하게 한다”고 경고했다.
바이트댄스는 과거에도 틱톡, 캡컷 등의 서비스에서 비슷한 논란을 겪어왔다. 한국을 비롯해 아시아, 미국, 유럽 등 세계에서 과도한 데이터 수집과 중국 정부와의 연결 가능성을 둘러싸고 여러 차례 의혹이 제기됐다.
한국 개인정보보호위원회는 2월 중국 AI 서비스 딥시크가 사용자 동의 없이 개인정보를 제3자인 바이트댄스에 자동 전송했다고 발표했다. 이어 호주, 대만, 이탈리아 등에서 비슷한 지적이 제기됐다. 실제로 앱을 실행할 때마다 개인정보가 바이트댄스 서버로 전송되는 사실이 기술 분석을 통해 확인됐다.
[여이레 기자(gore@boannews.com)]
하드웨어 지문부터 사용패턴까지… 바이트댄스, 틱톡·딥시크 이어 또 데이터 수집 의혹
[보안뉴스 여이레 기자] 틱톡 모기업 바이트댄스가 개발한 AI 코딩 도구 ‘트레이(TRAE) IDE’가 사용자 몰래 과도한 개인정보를 수집해 중국 본사 서버로 전송한다는 의혹이 제기됐다.
트레이 IDE는 맥OS와 윈도우 환경에서 무료로 제공되며, GPT-4o 및 클로드 등 다양한 AI 모델을 탑재했다. 커서나 깃허브 파일럿 등의 AI 코딩 도구와 경쟁한다.
[자료: 트레이 홈페이지]
최근 트레이가 마이크로소프트 비주얼 스튜디오 코드나 커서 등 다른 AI 코딩 도구에 비해 훨씬 많은 시스템 자원을 소모한다는 주장을 한 개발자가 깃허브에 올렸다. 이는 헤커뉴스 등 개발자들이 주로 활동하는 온라인 포럼에서 논란이 되고 있다.
‘segmentationf4u1t’라는 아이디를 쓰는 이 개발자는 트레이가 비주얼 스튜디오 코드를 포크해 만들어졌음에도 더 많은 자원을 소모하는 것에 의문을 제기했다.
비주얼 스튜디오 코드가 9개의 프로세스를 실행하는데 반해, 트레이는 프로세스 33개를 실행했다. 프로세스 실행 수가 비정상적으로 많다는 점은 데이터 수집, 감시, 전송에 프로세스가 이용되고 있다는 의심을 불러일으킨다.
또 트레이는 사용자 활동을 지속적으로 추적하는 ‘텔레메트리(원격 데이터 수집)’가 꺼져 있어도 계속해서 사용자 정보를 수집했다. 트레이는 사용자 활동을 추적하고 하드웨어 사양, 운영체제 및 아키텍처 세부사항, 사용 패턴, 고유 식별자, 프로젝트 정보 등 상세한 정보를 수집해 중국 서버로 전송했다.
문제를 제기한 개발자는 “표준 설정 인터페이스를 통해 텔레메트리를 비활성화 하려 했지만 네트워크 활동이 줄어들지 않았다”며 “오히려 데이터 수집 빈도가 증가했다”고 밝혔다.
이 문제는 2.0.2 버전이 나오면서 사그라드는 듯했다.
하지만 이 개발자는 “지속적 네트워크 모니터링과 외부 연결에서 트레이의 진짜 문제가 시작된다”고 지적했다. 트레이는 byteoversea.com 최상위 도메인의 3개 엔드포인트에 지속적으로 연결되는 것으로 나타났다. 바이트댄스 소유 3개의 서버 주소에 계속해서 데이터를 보내고 있다는 의미다.
이 개발자가 공유한 네트워크 활동 스크린샷과 차단된 페이로드에는 하나의 데이터 패킷에 user_id, device_id, machine_id, biz_user_id, user_unique_id 등 여러 개의 지속적 사용자 식별자와 특정 CPU 모델, 정확한 RAM 용량, 마더보드 제조업체 등 상세한 하드웨어 지문이 포함돼 있었다.
그는 “이러한 정보가 사용자 설정과 관계없이 바이트댄스로 전송된다”며 “여러 개의 지속적 식별자가 장기 추적을 가능하게 한다”고 경고했다.
바이트댄스는 과거에도 틱톡, 캡컷 등의 서비스에서 비슷한 논란을 겪어왔다. 한국을 비롯해 아시아, 미국, 유럽 등 세계에서 과도한 데이터 수집과 중국 정부와의 연결 가능성을 둘러싸고 여러 차례 의혹이 제기됐다.
한국 개인정보보호위원회는 2월 중국 AI 서비스 딥시크가 사용자 동의 없이 개인정보를 제3자인 바이트댄스에 자동 전송했다고 발표했다. 이어 호주, 대만, 이탈리아 등에서 비슷한 지적이 제기됐다. 실제로 앱을 실행할 때마다 개인정보가 바이트댄스 서버로 전송되는 사실이 기술 분석을 통해 확인됐다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
.png){kind=spacer}
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
