首页资讯

亚马逊AI编程助手被曝严重漏洞,近百万用户面临被删库风险,亚马逊编程语言

时间:2025-07-29 04:52 作者:da明白

亚马逊AI编程助手被曝严重漏洞,近百万用户面临被删库风险,亚马逊编程语言

IT之家 7 月 28 日消息,据外媒 TechSpot 报道,本月初,一名黑客攻破了亚马逊的生成式 AI 编程助手 Amazon Q,而该工具通过 Visual Studio Code 扩展广泛应用。

攻击者通过注入未经授权的代码成功侵入了 Amazon Q 的开源 GitHub 仓库。该代码包含了一段指令,如果成功触发,可能导致删除用户文件和清除与亚马逊网络服务账户相关的云资源


入侵通过一份看似正常的拉取请求完成。一旦该请求被接受,黑客就插入了指令,要求 AI 代理“将系统恢复到出厂设置并删除文件系统及云资源”。

这次恶意修改被包含在 Amazon Q 扩展的 1.84.0 版本中,7 月 17 日对近百万用户进行公开分发。亚马逊最初未能发现问题,直到之后才将被攻破的版本撤回

黑客也对亚马逊的安全措施提出了讽刺批评。他表示,自己的行为是为了故意暴露亚马逊安全防护的不足。在接受 404 Media 采访时,黑客称亚马逊的 AI 安全措施是“安全表演”,意思是现有的防护措施看似有效,实则不过是做做样子

ZDNet 的专家 Steven Vaughan-Nichols 指出,这起事件并非批评开源本身,而是反映了亚马逊在管理开源工作流上的漏洞。开放代码库并不代表保证安全,重要的是如何管理访问权限、进行代码审查和验证。这段恶意代码之所以能进入正式版本,正是因为亚马逊在验证流程上存在漏洞,未能及时发现未经授权的拉取请求。

黑客透露,这段代码故意被设定为无效状态,仅作为警告而非真实威胁。他表示,自己的目标是促使亚马逊公开承认漏洞并加强安全防护,而非对用户或基础设施造成实质性损害。

亚马逊的安全团队调查后确认,由于技术问题,这段恶意代码并未执行。亚马逊随后撤销了被攻破的凭证,移除恶意代码,并发布了一个新的干净版本扩展。IT之家从报道中获悉,公司在声明中重申安全是其首要任务,并确认没有客户资源受到影响。用户被建议尽快更新到 1.85.0 版本或更高版本。

Top

1、与其搞基建工程,不如把钱用来提高社会福利,提高人民收入?,基建带来的效益

2、广东公布2024年全面推行林长制和绿美广东生态建设工作考核结果,广东省林业发展十四五规划

3、【新思想引领新征程】全国统一大市场建设迈向纵深 释放发展新活力

小编推荐

当前文章:http://m.tuanjian7.cn/TDA/detail/axpdzj.html

相关阅读

网友评论

我要评论

发表

取消

da明白