亚马逊AI编程工具Amazon Q遭黑客入侵,GitHub传播恶意代码暴露审查漏洞

AI快讯4天前发布 ai-tab
4 0

🔍事件起因:AI工具成黑客目标

Amazon Q是亚马逊2024年推出的AI编程助手,主打"智能代码生成+自动化开发",集成在VS Code等IDE中,全球安装量超96万次。没想到这次被黑客盯上,通过开源仓库的漏洞搞了波大的!

亚马逊AI编程工具Amazon Q遭黑客入侵,GitHub传播恶意代码暴露审查漏洞

⚠️惊险过程:从恶意PR到近百万用户终端

时间线全梳理:

时间节点关键事件
7月13日黑客用假账号提交恶意Pull Request
7月17日亚马逊误将恶意代码合并,发布1.84.0版本
7月23日安全研究员发现异常,漏洞曝光
7月24日亚马逊紧急下架问题版本,发布1.85.0修复版

黑客在代码里藏了条"删库指令":要求AI代理"将系统恢复到出厂设置并删除文件系统及云资源",还好被故意设置为无效状态,否则后果不堪设想!💥

🕵️漏洞根源:亚马逊的"安全表演"?

安全专家分析,这次事件暴露了3大致命问题:

1️⃣ 代码审查形同虚设
黑客提交的PR居然没经过人工审核就直接合并!亚马逊的自动化审查机制完全漏掉了恶意指令,被黑客嘲讽为"安全表演"🤡

2️⃣ 开源仓库权限失控
攻击者用随机GitHub账号就能提交代码,说明仓库访问控制存在重大缺陷,简直是把大门钥匙扔在路边!

3️⃣ AI代理指令注入风险
Amazon Q允许代码修改系统提示词,这就像给黑客留了后门,能直接篡改AI行为逻辑(技术原理:多模态指令优先级设计缺陷)

✅紧急应对:开发者必做3件事!

如果你用过Amazon Q,现在立刻:

  1. 检查VS Code扩展版本,确保已更新到1.85.0以上
  2. 运行aws configure list检查是否有异常配置文件
  3. 开启GitHub双因素认证,定期审查第三方依赖

企业用户建议:

  • 禁用AI工具的自动更新功能
  • 部署代码沙箱环境隔离风险
  • 对关键仓库启用PR人工复核机制

💡行业警示:AI工具不是法外之地

这次事件给所有依赖AI编程工具的团队敲响警钟:
🔹 开源不等于安全,流程管控比技术更重要
🔹 AI代理的权限边界必须严格限制
🔹 DevSecOps流程要真正落地,不能只做表面功夫

亚马逊虽然声称"没有客户资源受损",但这次暴露的审查漏洞已经让开发者对其安全性打上问号。毕竟,连代码审查都能翻车的公司,谁还敢放心用它的AI工具呢?🤔

🔗相关链接


© 版权声明

相关文章

暂无评论

none
暂无评论...