Amazon Q AI-asszisztens majdnem törölte a világ AWS-fiókjait

Valaki sikeresen infiltrált egy potenciálisan katasztrofális promptot az Amazon Q Developer VS Code bővítményébe, amely utasította volna az AI-t a felhasználók teljes rendszerének és AWS felhő-erőforrásainak törlésére. A támadó július 13-án egy pull request-en keresztül jutott be a GitHub repo-ba, és a rosszindulatú kód bekerült a v1.84.0 verzióba, amelyet közel egymillió fejlesztő használ.

Az injektált prompt egyszerű, de félelmes volt:

A kód automatikusan felderítette volna az AWS profilokat, majd CLI parancsokkal törölte volna az EC2 instance-okat, S3 bucket-eket és IAM felhasználókat, miközben az összes törlést naplózta volna a /tmp/CLEANER.LOG fájlba.

Szerencsére egy szintaktikai hiba megakadályozta a kód futását, így egyetlen felhasználói rendszer sem sérült. Az AWS gyorsan visszavonta a kompromittált verziót és csendes csere mellett kiadta a v1.85.0-t, de csak a 404 Media riportja után ismerte be a biztonsági incidenst. A támadó állítása szerint célja az AWS “AI biztonsági színházának” leleplezése volt, demonstrálva, hogy milyen könnyen lehet infiltrálni ilyen kritikus fejlesztői eszközöket.

Ez az eset új típusú kiberfenyegetést mutat be: a prompt injection támadásokat AI fejlesztői eszközök ellen. A tradicionális kód-injektálás helyett ez az AI természetes nyelvfeldolgozási képességeit manipulálja. Ez rámutat, hogy az AI-eszközök biztonságát alapjaiban kell újragondolni, különösen amikor rendszerparancsokhoz és felhő API-khoz férnek hozzá.

Az, hogy egy egyszerű pull request átjutott a biztonsági ellenőrzéseken és majdnem katasztrofális következményekkel járt, jelentős kérdéseket vet fel a nyílt forráskódú projektek biztonságáról és kockázatairól.

Forrás: Tom’s Hardware, GitHub commit, Last Week in AWS