Phân tích hiệu năng và telemetry của Trae IDE, nhánh fork VSCode của ByteDance

 (github.com/segmentationf4u1t)
2 điểm bởi GN⁺ 2025-07-28 | 1 bình luận | Chia sẻ qua WhatsApp
  • Trae IDE dựa trên VSCode, nhưng bị phát hiện có mức tiêu thụ tài nguyên quá mức và vấn đề quyền riêng tư
  • Bất kể cài đặt của người dùng, ứng dụng vẫn liên tục gửi dữ liệu telemetry về máy chủ của ByteDance
  • Mức sử dụng tài nguyên cao gấp 6 lần so với VSCode, số lượng tiến trình cũng nhiều hơn đáng kể
  • Khi cộng đồng nêu ra vấn đề bảo mật/quyền riêng tư, hiện tượng kiểm duyệt tự động và xử phạt đã xảy ra
  • Tồn tại vấn đề thiếu giải thích minh bạch hoặc quyền kiểm soát của người dùng đối với đường đi và mục đích thu thập dữ liệu

Phân tích hiệu năng và telemetry của Trae IDE: Góc nhìn bên trong về nhánh fork VSCode của ByteDance

Tóm tắt điều hành

Phân tích này tập trung vào các vấn đề hiệu năngquyền riêng tư của Trae IDE (Visual Studio Code do ByteDance fork)
Các phát hiện chính gồm mức tiêu thụ tài nguyên quá cao (VSCode 9 tiến trình so với Trae 33 tiến trình), việc truyền dữ liệu liên tục ngay cả khi người dùng đã chặn telemetry, và vấn đề kiểm duyệt trong quản lý cộng đồng

1. Bối cảnh và phương pháp phân tích

Trong quá trình đánh giá môi trường phát triển cho dự án cá nhân, ba IDE gồm VSCode, Cursor, Trae đã được đem ra so sánh
Môi trường thử nghiệm được thiết lập giống nhau, và trọng tâm là kiểm tra sự khác biệt về hiệu năng cũng như hành vi mạng

  • OS: Microsoft Windows 11 Pro
  • CPU: Intel Core™ i7-14700KF
  • RAM: 64GB
  • Dự án thử nghiệm: nạp cùng một codebase vào cả ba IDE
  • Công cụ giám sát: dùng System Informer và Fiddler Everywhere

2. Phân tích mức tiêu thụ tài nguyên

Số lượng tiến trình và mức dùng bộ nhớ

Ở bài test đầu tiên, có thể xác nhận rằng mức tiêu thụ tài nguyên của từng IDE khác biệt rất lớn

IDE Số tiến trình Mức dùng bộ nhớ Mức ảnh hưởng hiệu năng
VS Code 9 khoảng 0.9 GB mốc tham chiếu
Cursor 11 khoảng 1.9 GB bộ nhớ gấp 2.1 lần
Trae 33 khoảng 5.7 GB bộ nhớ gấp 6.3 lần
  • Trae có số tiến trình cao gấp 3.7 lần và mức dùng bộ nhớ cao gấp 6.3 lần so với VSCode

Phản hồi từ cộng đồng và cải thiện một phần

Sau khi báo cáo vấn đề này lên máy chủ Discord của Trae, đội ngũ phát triển đã thừa nhận vấn đề và bắt đầu cải thiện
Ở phiên bản 2.0.2, đã có một số cải thiện như giảm khoảng 20 tiến trình, nhưng mức sử dụng vẫn còn cao

  • Sau cập nhật (2.0.2): số tiến trình giảm còn khoảng 13, mức dùng bộ nhớ giảm còn khoảng 2.5GB

3. Điều tra lưu lượng mạng và telemetry

Phân tích mạng ban đầu

Kết quả giám sát cho thấy Trae IDE đang liên tục giao tiếp với máy chủ ByteDance

Thử nghiệm với cài đặt telemetry

Cố gắng tắt telemetry

Ngay cả khi dùng tính năng chặn telemetry trong màn hình cài đặt, hành vi mạng không có thay đổi

Kết quả ngoài dự kiến
  • Ngay cả sau khi vô hiệu hóa telemetry, kết nối tới các máy chủ hiện có vẫn được duy trì
  • Thậm chí còn xuất hiện hiện tượng tần suất truyền dữ liệu tăng lên

4. Phân tích nội dung dữ liệu được truyền

Payload telemetry theo lô

Ngay cả khi telemetry đang ở trạng thái vô hiệu hóa, dữ liệu sử dụng chi tiết vẫn được truyền theo thời gian thực như sau

  • Thông tin hệ thống: thông số phần cứng, chi tiết OS, kiến trúc, v.v.
  • Mẫu sử dụng: thời gian IDE hoạt động/không hoạt động, lịch sử sử dụng tính năng
  • Chỉ số hiệu năng: tốc độ phản hồi, mức sử dụng tài nguyên, v.v.
  • Định danh duy nhất: machine ID, user ID, thông tin nhận diện thiết bị
  • Thông tin workspace: thông tin dự án, đường dẫn tệp (được che một phần)

Theo dõi hoạt động người dùng

Thông qua các endpoint bổ sung, thông tin tương tác người dùng rất chi tiết cũng được truyền đi

  • Bao gồm chi tiết như trạng thái kết nối/ngắt kết nối, thời gian hoạt động, editor focus, tệp đang sử dụng, v.v.

5. Vấn đề trong quản lý cộng đồng

Kiểm duyệt tự động

  • Khi nhắc đến vấn đề liên quan trên máy chủ Discord, tài khoản lập tức bị đưa vào blacklist tự động và mute 7 ngày
  • Các từ khóa như "track" được chỉ định là từ áp dụng kiểm duyệt tự động
  • Đã có cách phản ứng mang tính đàn áp đối với việc nêu ra vấn đề kỹ thuật

6. Hàm ý về quyền riêng tư và bảo mật

Vấn đề về chủ quyền dữ liệu và kiểm soát sử dụng

  • Dù người dùng từ chối, việc thu thập và truyền dữ liệu liên tục vẫn diễn ra
  • Thông tin thiết bị và hoạt động rất chi tiết được gửi tới máy chủ bên ngoài
  • Đường đi và mục đích xử lý của dữ liệu thu thập không rõ ràng, người dùng không có quyền kiểm soát

Thiếu độ tin cậy và minh bạch

  • Cài đặt telemetry không có tác dụng thực tế
  • Thiếu thông báo và giải thích chính thức về việc thu thập dữ liệu
  • Kiểm duyệt người chỉ trích/người báo cáo trong cộng đồng làm suy giảm tính minh bạch

Tóm tắt chính

  • Trae IDE cho thấy mức sử dụng tài nguyên cao gấp 6 lần so với VSCode
  • Cài đặt chặn telemetry thực tế chỉ là một tùy chọn mang tính hình thức không hoạt động
  • Thảo luận kỹ thuật lành mạnh trong cộng đồng bị hạn chế do kiểm duyệt
  • Thiếu giải thích về việc thu thập/xử lý dữ liệu và người dùng không có quyền lựa chọn

Phân tích này được thực hiện trên Trae IDE phiên bản PRE-2.0.2 và 2.0.2 tính đến tháng 7 năm 2025
Lưu lượng mạng được ghi lại bằng các công cụ giám sát tiêu chuẩn, và mọi kết quả đều có thể tái lập
Các thành viên cộng đồng được khuyến nghị tự tiến hành thử nghiệm và chia sẻ kết quả qua những kênh liên lạc phù hợp hơn

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-07-28
Ý kiến Hacker News
  • Cũng có TheiaIDE, một bản tái triển khai kiểu VSCode của Eclipse Trang chính thức của TheiaIDE Vài năm trước còn nhiều thiếu sót, nhưng giờ đã khá ổn TI đã xây dựng lại Code Composer Studio dựa trên Theia nên cũng có người dùng lớn Hỗ trợ LSP, dùng backend của Monaco editor, có đủ mọi thứ tôi cần Nó giống VSCode nhưng mang cảm giác rất Eclipse Có thể hợp gu, cũng có thể không, nhưng đáng để cân nhắc như một lựa chọn thay thế
    • Lý do tôi vẫn tiếp tục dùng vscode là vì hỗ trợ markdown Đặc biệt tôi hay dùng tính năng chèn file và hình ảnh thành liên kết bằng kéo thả, mà chưa thấy editor nào khác hỗ trợ tính năng này Mô tả tính năng đó
    • Thay vì fork vscode, tôi nghĩ dùng Theia sẽ tốt hơn vì việc chỉnh sửa dễ hơn Theia được quản lý theo kiểu mô-đun và cho phép tạo IDE mong muốn như một thư viện
    • Google Cloud Shell cũng dựa trên Theia Theo tôi biết thì nó cũng khá phổ biến
    • Thật ngạc nhiên là eclipse vẫn còn sống
  • Dù nội dung thu thập như dưới đây, tôi cũng không thấy quá khó chịu
    • Thông tin hệ thống: cấu hình phần cứng, thông tin OS, kiến trúc
    • Mẫu hình sử dụng: thời gian hoạt động, độ dài phiên, lịch sử dùng tính năng
    • Chỉ số hiệu năng: tốc độ phản hồi, mức chiếm dụng tài nguyên
    • Định danh duy nhất: machine ID, user ID, dấu vân tay thiết bị
    • Thông tin workspace: thông tin dự án, đường dẫn tệp (đã làm rối) Tôi tự hỏi liệu mình có phải là người duy nhất thấy nó không xâm phạm đến mức gây khó chịu hay không
    • Tôi không muốn bất kỳ chương trình nào trên máy mình, kể cả OS, giao tiếp qua mạng nếu việc đó không liên quan trực tiếp đến tác vụ mà chính tôi đã yêu cầu qua GUI/CLI Tôi chỉ muốn cho phép các kết nối ngoại lệ khi đã chủ động opt-in rõ ràng Tôi nghĩ chuẩn mực hiện nay về giao tiếp từ xa (Overton window) đang bị lệch
    • Tôi không muốn chia sẻ định danh duy nhất (machine ID, user ID, dấu vân tay thiết bị), thông tin workspace (thông tin dự án, đường dẫn tệp), và cả thông tin OS Tôi thích không chia sẻ gì cả
    • Dù đã bật tùy chọn "tắt telemetry", tôi vẫn cảm thấy có nhiều thông tin được gửi đi hơn mong đợi
    • Tôi luôn muốn chính mình quyết định có cung cấp thông tin hay không Tôi từng định học ngôn ngữ Dart nhưng đã bỏ cuộc khi trình cài đặt nói rằng Google thu thập telemetry Tôi không hiểu vì sao ngay cả một ngôn ngữ lập trình cũng phải như vậy Kể từ đó tôi không đụng đến nữa
  • Đây là một phân tích tuyệt vời về VSCode, Trae và Cursor Tôi cũng tò mò về phân tích Kiro (bản fork của AWS) và muốn biết cách làm về thu thập dữ liệu khác nhau ra sao
    • Theo trải nghiệm thực tế, Kiro có quy trình mua sắm doanh nghiệp đơn giản và nhanh hơn nhiều so với các sản phẩm cùng loại (vài ngày so với vài tháng) Không phải vì sản phẩm tốt hơn, cũng không có bằng chứng là riêng tư hơn hay bảo mật hơn Đa số doanh nghiệp đã có sẵn thỏa thuận chia sẻ dữ liệu với AWS nên các TAM có thể dễ dàng hướng dẫn triển khai Kiro Tôi chấp nhận thực tế về bảo vệ dữ liệu/canh mật cá nhân, nhưng với doanh nghiệp thì sự khác biệt trong mức độ chấp nhận tùy theo mức độ công khai lại khá thú vị
  • Phân tích rất hay Tôi tò mò việc số tiến trình giảm từ 33 xuống 20 có phải do logic telemetry được chuyển sang chỗ khác không (nên hoạt động endpoint tăng lên chăng) Cũng muốn biết Bytedance nói gì về chuyện này
  • Họ dường như không muốn người dùng tắt telemetry, dù chỉ có một số ít người tắt cũng vậy Không hiểu vì sao lại như thế
    • Việc tắt telemetry có thể bị xem như tín hiệu của "người có gì đó muốn giấu", nên có thể bị diễn giải là họ càng muốn thu thập nhiều dữ liệu hơn
    • Cũng có thể đây không phải hành vi có chủ đích mà chỉ là lỗi chưa được sửa
    • Tôi nghĩ chính cái công tắc telemetry cũng làm dữ liệu bị nhiễu Vì vậy tôi thiên về việc tốt hơn là đừng có telemetry phía client ngay từ đầu Tất nhiên nhà cung cấp lại nghĩ hoàn toàn ngược lại
    • Đây là kiểu giải thích theo lưỡi dao Occam (cách giải thích đơn giản nhất, tức là ý đồ cốt lõi)
  • Gần đây quay lại TUI (helix editor) thấy rất hài lòng Tôi cũng đang thử ZED, và đoán là vì là sản phẩm thương mại nên chắc cũng có telemetry Dù sao thì học các quy tắc nâng cao của tường lửa cá nhân lúc nào cũng hữu ích
  • Tôi không hiểu vì sao mọi người vẫn dùng phần mềm gián điệp quá rõ ràng như vậy khi đã có phần mềm miễn phí
    • Có những editor như Sublime Text, không miễn phí như vậy nhưng rất tốt và không gửi code/công việc ra ngoài (ví dụ cho chính phủ Trung Quốc), tức là khá tránh được vấn đề telemetry
    • Tôi cũng tự hỏi vì sao người ta dùng sản phẩm của các công ty như Microsoft, Apple, Google, Amazon
    • Tôi nghĩ có rất nhiều tiền đang được đổ vào việc bôi xấu phần mềm miễn phí
    • Phần mềm miễn phí cũng có rất nhiều telemetry Chỉ là phần lớn dữ liệu đó thuộc về GitHub
    • telemetry không đồng nghĩa với việc giám sát người dùng Có nhiều trường hợp không phải là theo dõi người dùng, nên tôi cũng hiểu vì sao mọi người vẫn dùng những sản phẩm như vậy
  • Tôi có hai suy nghĩ
    1. Dùng pi-hole để chặn endpoint đó (làm cho phân giải DNS thất bại), có thể đáng để thử xem nếu không truy cập được máy chủ telemetry thì chương trình còn hoạt động bình thường không
    2. Nhìn vào mức độ theo dõi quá mức, việc bỏ qua cài đặt tắt telemetry, và phản ứng trên Discord, thì cũng đủ để đánh giá Bytedance Không thể thay đổi công ty này, nên nếu không muốn bị theo dõi thì ngay từ đầu cứ tránh sản phẩm của Bytedance là được
    • Thay vì pihole, trên hầu hết OS chỉ cần sửa file hosts là cũng chặn được tên miền cụ thể khá dễ
    • Tôi tò mò còn những công ty nào khác cũng đáng lo về chuyện theo dõi dữ liệu
    • Nếu lo về kết nối mạng thì cũng có thể khuyên dùng OpenSnitch hoặc Portmaster Với tôi thì tuyệt đối không tin kiểu opt-out, thiếu hai công cụ này là không sống nổi
  • Tôi thấy đáng tin nhờ các ảnh chụp màn hình và payload mà OP cung cấp Muốn IDE giành được niềm tin thì đúng đắn nhất là mặc định tắt telemetry (opt-in) và cung cấp một công tắc chặn thực sự chắc chắn
  • Tôi không hiểu lý do gì để dùng bản fork VSCode của Bytedance
    • So với editor khác, giá tính năng AI rẻ hơn một nửa (10 USD/tháng), và gói miễn phí cũng khá hào phóng Có vẻ phần chênh lệch đó được trả bằng cách khác
    • Thật ra nếu không phải nhân viên nội bộ thì có vẻ chẳng có lý do gì để dùng Điểm khác biệt lớn nhất so với bản của MS là có thêm tính năng AI, nên cũng không có gì đáng ngạc nhiên