CVSS-score 8.5. Det er alvorlighetsgraden Wiz Research ga sårbarheten CVE-2026-12957 i Amazon Q Developer, der en enkelt fil lagt i et GitHub-lager var nok til å gå fra git clone til kompromittert sky, ifølge The Hacker News. Amazon har rettet feilen.
Angrepet utnyttet hvordan KI-kodeassistenten håndterte Model Context Protocol. Amazon Q leste en MCP-konfigurasjonsfil, .amazonq/mcp.json, fra det åpne arbeidsområdet og startet serverne den definerte. MCP-servere er lokale prosesser, så å starte en betyr å kjøre kommandoer på maskinen. Prosessene arvet utviklerens fulle miljø: AWS-nøkler, sky-CLI-tokens og SSH-agent-sockets. I sin proof of concept lot Wiz filen kjøre aws sts get-caller-identity og sende resultatet til en angriperserver, uten passord og uten ny innlogging.
«Bekvemmeligheten ved å la en prosjektmappe konfigurere en KI-agent er også angrepsflaten.» — Swati Khandelwal, The Hacker News
Feilen lå i Language Servers for AWS, kjøretiden som driver Amazon Q på tvers av VS Code, JetBrains, Eclipse og Visual Studio, så alle fire pluginene var eksponert. Dette er ikke første gang en kodeassistent snubler i MCP-tillit. Claude Code (CVE-2025-59536), Cursor (CVE-2025-54136) og Windsurf (CVE-2026-30615) endte alle samme sted: prosjektkonfigurasjon ble til kjørbar oppførsel fordi tillitssjekken rundt overgangen sviktet.
Hva bør du gjøre?
- Oppdater til Language Servers for AWS 1.69.0, som også lukker symlink-feilen CVE-2026-12958, og last IDE-en på nytt for å hente bygget.
- Ikke stol på arbeidsområdet automatisk når du åpner ukjente lager, og se etter en .amazonq/mcp.json-fil før du godtar.
- Behandl all repo-bundlet agentkonfigurasjon som utrustet input, uansett hvilken KI-assistent du bruker.