中国製AIコードエディタ「TraeIDE」 個人情報を含むテレメトリーを勝手に送信：セキュリティニュースアラート

中国のテクノロジー企業ByteDanceの開発したAI統合型のプログラミングツール「TraeIDE」を調査した結果、テレメトリー設定を無効にしても通信が継続し、個人情報を含む大量のメタデータが送信されていることが判明した。

[後藤大地，有限会社オングス]

　「GitHub」において、「TikTok」を運営する中国のテクノロジー企業ByteDanceの統合開発環境（IDE）「TraeIDE」に関する詳細な調査結果が公開された。

　TraeIDEは「Visual Studio Code」をベースとしたAI統合型のプログラミングツールだが、ユーザー設定にかかわらず継続的に送信されるテレメトリーや、技術的指摘についてのコミュニティーの応答などが懸念されている。

TraeIDEの透明性に懸念　個人情報を含むテレメトリーが勝手に送信される

　同調査は「Windows 11 Pro」環境下で実施され、同一のコードベースを複数のIDEで比較する形式を取っている。ネットワーク監視ツールとして「System Informer」および「Fiddler Everywhere」を使い、通信の挙動が記録されている。調査によると、設定画面からテレメトリーを無効化しても、次のようなByteDance関連ドメインへの通信が継続していることが確認されている。

• mon-va.byteoversea[.]com
• maliva-mcs.byteoversea[.]com
• mon-va.byteoversea[.]com/monitor_browser/collect/batch

　無効化後もデータ送信が停止することはなく、特定のエンドポイントへのリクエスト頻度がむしろ増加する挙動が観測されている。使用中に最大で26MB相当のデータが短時間で送信されており、複数のイベント情報がまとめられたバッチ形式で送られていることが分かった。

　テレメトリーの内容にはユーザーの利用状況や端末情報、操作内容など、詳細なメタデータが含まれており、次のような項目が確認されている。

• CPU名やメモリ容量、端末製造元といったハードウェア情報
• 使用中のファイル拡張子、エディタのフォーカス状況、作業時間などの操作履歴
• アプリケーションバージョンやOSバージョン、画面解像度、ブラウザ情報
• セッションID、デバイスID、ユーザーIDなどの一意識別情報

　これらの懸念を開発元の公式「Discord」コミュニティーで共有しようとした際、「tracking」などの語句を含む投稿が自動で検閲対象とされ、発言者が一時的にミュートされる事例も報告されている。対象となったメッセージは一部ユーザーには閲覧可能な状態で残されているが、対応の透明性については議論の余地がある。

　TraeIDEの今後の開発および運用において、設定と実態の一致、収集情報の透明性確保、技術的指摘への誠実な対応が求められる。ユーザー自身による独自検証も推奨されており、関連する議論の行方が注目される。