炒股就看金麒麟分析師研報,權威,專業,及時,全面,助您挖掘潛力主題機會!
(來源:IT之家)
IT之家 7 月 28 日消息,據外媒 TechSpot 報道,本月初,一名黑客攻破了亞馬遜的生成式 AI 編程助手 Amazon Q,而該工具通過 Visual Studio Code 擴展廣泛應用。
攻擊者通過注入未經授權的代碼成功侵入了 Amazon Q 的開源 GitHub 倉庫。該代碼包含了一段指令,如果成功觸發,可能導致刪除用戶文件和清除與亞馬遜網絡服務賬戶相關的雲資源。
入侵通過一份看似正常的拉取請求完成。一旦該請求被接受,黑客就插入了指令,要求 AI 代理「將系統恢復到出廠設定並刪除文件系統及雲資源」。
這次惡意修改被包含在 Amazon Q 擴展的 1.84.0 版本中,7 月 17 日對近百萬用戶進行公開分發。亞馬遜最初未能發現問題,直到之後纔將被攻破的版本撤回。
黑客也對亞馬遜的安全措施提出了諷刺批評。他表示,自己的行為是為了故意暴露亞馬遜安全防護的不足。在接受 404 Media 採訪時,黑客稱亞馬遜的 AI 安全措施是「安全表演」,意思是現有的防護措施看似有效,實則不過是做做樣子。
ZDNet 的專家 Steven Vaughan-Nichols 指出,這起事件並非批評開源本身,而是反映了亞馬遜在管理開源工作流上的漏洞。開放代碼庫並不代表保證安全,重要的是如何管理訪問權限、進行代碼審查和驗證。這段惡意代碼之所以能進入正式版本,正是因為亞馬遜在驗證流程上存在漏洞,未能及時發現未經授權的拉取請求。
黑客透露,這段代碼故意被設定為無效狀態,僅作為警告而非真實威脅。他表示,自己的目標是促使亞馬遜公開承認漏洞並加強安全防護,而非對用戶或基礎設施造成實質性損害。
亞馬遜的安全團隊調查後確認,由於技術問題,這段惡意代碼並未執行。亞馬遜隨後撤銷了被攻破的憑證,移除惡意代碼,並發布了一個新的乾淨版本擴展。IT之家從報道中獲悉,公司在聲明中重申安全是其首要任務,並確認沒有客戶資源受到影響。用戶被建議儘快更新到 1.85.0 版本或更高版本。