炒股就看金麒麟分析師研報，權威，專業，及時，全面，助您挖掘潛力主題機會！

（來源：IT之家）

IT之家 7 月 28 日消息，據外媒 TechSpot 報道，本月初，一名黑客攻破了亞馬遜的生成式 AI 編程助手 Amazon Q，而該工具通過 Visual Studio Code 擴展廣泛應用。

攻擊者通過注入未經授權的代碼成功侵入了 Amazon Q 的開源 GitHub 倉庫。該代碼包含了一段指令，如果成功觸發，可能導致刪除用戶文件和清除與亞馬遜網絡服務賬戶相關的雲資源。

入侵通過一份看似正常的拉取請求完成。一旦該請求被接受，黑客就插入了指令，要求 AI 代理“將系統恢復到出廠設置並刪除文件系統及雲資源”。

這次惡意修改被包含在 Amazon Q 擴展的 1.84.0 版本中，7 月 17 日對近百萬用戶進行公開分發。亞馬遜最初未能發現問題，直到之後纔將被攻破的版本撤回。

黑客也對亞馬遜的安全措施提出了諷刺批評。他表示，自己的行爲是爲了故意暴露亞馬遜安全防護的不足。在接受 404 Media 採訪時，黑客稱亞馬遜的 AI 安全措施是“安全表演”，意思是現有的防護措施看似有效，實則不過是做做樣子。

ZDNet 的專家 Steven Vaughan-Nichols 指出，這起事件並非批評開源本身，而是反映了亞馬遜在管理開源工作流上的漏洞。開放代碼庫並不代表保證安全，重要的是如何管理訪問權限、進行代碼審查和驗證。這段惡意代碼之所以能進入正式版本，正是因爲亞馬遜在驗證流程上存在漏洞，未能及時發現未經授權的拉取請求。

黑客透露，這段代碼故意被設定爲無效狀態，僅作爲警告而非真實威脅。他表示，自己的目標是促使亞馬遜公開承認漏洞並加強安全防護，而非對用戶或基礎設施造成實質性損害。

亞馬遜的安全團隊調查後確認，由於技術問題，這段惡意代碼並未執行。亞馬遜隨後撤銷了被攻破的憑證，移除惡意代碼，併發布了一個新的乾淨版本擴展。IT之家從報道中獲悉，公司在聲明中重申安全是其首要任務，並確認沒有客戶資源受到影響。用戶被建議儘快更新到 1.85.0 版本或更高版本。

海量資訊、精準解讀，盡在新浪財經APP