数字中国 人工智能 汽车智驾 手机数码 智慧家电 酷玩配件 科技创投 产业+ 更多
实时
当前位置:数智频道首页 > 人工智能 > 正文

亚马逊 AI 编程助手 Amazon Q 被曝严重漏洞,近百万用户一度面临被删库风险

2025-07-29 07:09:27 来源:IT之家 A+A-

7月28日,一名黑客攻破了亚马逊的生成式AI编程助手Amazon Q。该工具通过Visual Studio Code扩展广泛应用。攻击者通过注入未经授权的代码成功侵入了Amazon Q的开源GitHub仓库。这段代码包含了一段指令,如果成功触发,可能导致删除用户文件和清除与亚马逊网络服务账户相关的云资源。

亚马逊 AI 编程助手 Amazon Q 被曝严重漏洞,近百万用户一度面临被删库风险

入侵通过一份看似正常的拉取请求完成。一旦该请求被接受,黑客就插入了指令,要求AI代理“将系统恢复到出厂设置并删除文件系统及云资源”。这次恶意修改被包含在Amazon Q扩展的1.84.0版本中,于7月17日对近百万用户进行公开分发。亚马逊最初未能发现问题,直到之后才将被攻破的版本撤回。

黑客在接受采访时讽刺批评亚马逊的安全措施,称其为“安全表演”,意指现有的防护措施看似有效,实则只是表面功夫。专家指出,这起事件并非批评开源本身,而是反映了亚马逊在管理开源工作流上的漏洞。开放代码库并不代表保证安全,关键在于如何管理访问权限、进行代码审查和验证。这段恶意代码之所以能进入正式版本,正是因为亚马逊在验证流程上存在漏洞,未能及时发现未经授权的拉取请求。

黑客透露,这段代码故意被设定为无效状态,仅作为警告而非真实威胁。他的目标是促使亚马逊公开承认漏洞并加强安全防护,而非对用户或基础设施造成实质性损害。亚马逊的安全团队调查后确认,由于技术问题,这段恶意代码并未执行。公司撤销了被攻破的凭证,移除恶意代码,并发布了一个新的干净版本扩展。亚马逊重申安全是其首要任务,并确认没有客户资源受到影响。建议用户尽快更新到1.85.0版本或更高版本。

热点推送

本周关注

MORE
    关于中华网 广告服务 联系我们 招聘信息 版权声明 豁免条款 友情链接 中华网动态
    网上不良信息举报电话:010-56177181执行主编:张蕾
    京ICP备18035944号@版权所有 中华网