亚马逊AI编程助手现严重漏洞 致近百万用户数据面临风险

近日，据外媒报道，一位黑客成功入侵了亚马逊的生成式AI编程工具Amazon Q。该工具作为一款通过Visual Studio Code扩展广泛使用的开发辅助程序，此次事件引发了广泛关注。

安全研究人员发现，攻击者通过向GitHub仓库提交恶意代码实现了对系统的非法访问。这段被注入的代码中包含了一条危险指令，一旦触发，将可能导致用户文件被删除并清除与亚马逊云账户相关的资源。

此次入侵是通过一个看似正常的拉取请求完成的。黑客利用这一机制成功植入了恶意代码，要求AI代理执行删除文件系统和云资源等高危操作。

这个恶意版本（1.84.0）于7月17日被公开分发，并迅速传播至广大用户群体。令人担忧的是，亚马逊在最初阶段未能及时发现这一漏洞，直到事件发生后才紧急下架了问题版本。

对此，黑客公开表示，此次行动旨在揭露亚马逊安全防护体系的不足。在接受媒体采访时，他批评亚马逊的安全措施只是“表面功夫”，缺乏实质性保障。

网络安全专家指出，此次事件并非开源模式本身的问题，而是反映了企业在管理开源项目时存在的漏洞。技术专家Steven Vaughan-Nichols认为，代码审查流程的疏漏是导致恶意代码进入正式版本的根本原因。

值得注意的是，黑客刻意将这段代码设置为无法触发的状态，目的仅仅是发出警告而非造成实际危害。他表示希望通过此举促使亚马逊正视安全问题并采取改进措施。

经过调查，亚马逊确认由于技术原因，恶意代码并未被执行。该公司迅速采取行动，撤销了受损凭证、清除了非法代码，并向用户发布了1.85.0版本的更新补丁。官方声明强调安全是首要原则，并对客户资源的安全性作出保证。