近期,一起針對亞馬遜生成式AI編程助手Amazon Q的安全事件引起了廣泛關注。據外媒報道,一名黑客成功侵入了該工具的開源GitHub倉庫,這一工具廣泛通過Visual Studio Code擴展被應用。
黑客通過提交一份看似無害的拉取請求,在Amazon Q的代碼中植入了惡意指令。這些指令如果被觸發,將會導致用戶文件的刪除以及與亞馬遜網絡服務賬戶相關的云資源被清除。這一攻擊手段相當隱蔽,因為攻擊者利用了開源社區的協作機制來實施破壞。
含有惡意代碼的版本,即Amazon Q擴展的1.84.0版本,在7月17日向近百萬用戶公開分發。然而,亞馬遜最初并未察覺到這一安全問題,直到后來才將受攻擊的版本撤回。這一事件暴露出亞馬遜在代碼審核和發布流程中的漏洞。
黑客在接受采訪時,對亞馬遜的安全措施表示了諷刺,稱其為“安全表演”,意指這些措施看似嚴密,實則形同虛設。他指出,自己的行為是為了揭示亞馬遜在安全防護上的不足,并促使公司加強安全措施。
安全專家Steven Vaughan-Nichols對此事進行了評論,他認為這并非是對開源模式的批評,而是反映了亞馬遜在管理開源工作流方面的不足。他強調,開放代碼庫并不意味著安全無憂,關鍵在于如何管理訪問權限、進行代碼審查和驗證。在這起事件中,亞馬遜的驗證流程顯然存在漏洞,未能及時識別出未經授權的拉取請求。
值得注意的是,黑客透露,他故意將惡意代碼設置為無效狀態,僅作為警告而非真實的威脅。他的目標是促使亞馬遜公開承認漏洞并加強安全防護,而不是對用戶或基礎設施造成實質性損害。這一行為表明,黑客并非出于惡意破壞的目的,而是希望通過這一事件推動亞馬遜改進其安全措施。
亞馬遜的安全團隊在事后迅速展開調查,并確認由于技術問題,惡意代碼并未被執行。公司隨后撤銷了受攻擊的憑證,移除了惡意代碼,并發布了一個新的安全版本擴展。亞馬遜在聲明中重申,安全是其首要任務,并確認沒有客戶資源受到影響。同時,公司建議用戶盡快更新到1.85.0版本或更高版本,以確保安全。
