亚马逊AI编程助手遭黑客攻击 近百万用户受影响

快速阅读: 据相关媒体最新报道，亚马逊Q遭黑客通过VS Code扩展入侵，植入恶意代码，后被证实为技术错误未生效。公司未公开声明，引发安全质疑。事件警示开发者加强代码审查。

据AIbase报道，7月17日，亚马逊的生成式人工智能编程助手 Amazon Q 遭遇重大安全事件，黑客通过 Visual Studio Code 扩展程序成功入侵其系统。这次攻击暴露出软件开发中集成人工智能工具时存在的严重安全漏洞，引起了开发者社区的高度关注。

据了解，攻击者利用一个看似正常的拉取请求，向 Amazon Q 的开源 GitHub 存储库中注入了未经授权的代码。这段恶意代码若被触发，可能导致用户文件被删除及清空与 Amazon Web Services 账户相关的云资源。该恶意代码首次出现在1.84.0版本中，该版本已向近百万用户发布。

亚马逊在发现入侵后迅速采取行动，下架了受影响的版本。然而，公司并未就此事件发表公开声明，这引发了安全专家和开发者的质疑，他们对公司的透明度表示担忧。Duckbill Group 的首席云计算经济学家 Corey Quinn 在社交媒体上批评称，亚马逊的应对措施不够迅速，反而让外界对其安全策略产生怀疑。

更令人惊讶的是，黑客公开嘲讽亚马逊的安全措施，称其为“安全剧场”，暗示现有防御机制只是表面文章。技术专家 Steven Vaughan-Nichols 表示，这一事件反映出亚马逊在管理开源工作流程方面的问题，开放代码库并不等于安全，关键在于严格的访问控制和代码审查。

黑客声称，植入的代码实际上是无害的，目的是为了警示亚马逊存在安全漏洞并促使其改进。经调查，亚马逊确认该恶意代码因技术错误未能按预期执行。公司随后撤回了被盗用的凭证，删除了恶意代码，并发布了新的、干净的扩展程序版本。亚马逊在声明中强调安全是其首要任务，确认没有客户资源受到此次事件的影响，并建议用户尽快更新至1.85.0或更高版本。

此事件提醒开发者，在引入人工智能代理进入开发流程时，必须加强代码审查和存储库管理，以减少潜在风险。

(以上内容均由AI生成)