亚马逊AI编程助手曝严重漏洞 近百万用户数据险遭删除

快速阅读: 据相关媒体最新报道，亚马逊Q遭黑客攻击，恶意代码被注入1.84.0版本，影响近百万用户。黑客称其为“安全表演”，旨在暴露漏洞。代码未执行，亚马逊已撤销凭证并发布新版本。

据TechSpot报道，7月17日，亚马逊的生成式AI编程助手Amazon Q遭到黑客攻击，该工具通过Visual Studio Code扩展广泛使用。攻击者通过提交看似正常的拉取请求，成功注入未经授权的代码，这些代码如果触发，可能导致删除用户文件和清除与亚马逊网络服务账户相关的云资源。

此次恶意代码被包含在Amazon Q扩展的1.84.0版本中，并向近百万用户进行了公开分发。亚马逊最初未能发现问题，直到后来才撤回了被攻破的版本。

黑客在接受404 Media采访时称，他的行为是为了故意暴露亚马逊安全防护的不足。他批评亚马逊的AI安全措施是“安全表演”，即表面看起来有效，但实际上只是做做样子。ZDNet的专家Steven Vaughan-Nichols指出，这起事件反映了亚马逊在管理开源工作流上的漏洞。开放代码库并不意味着绝对安全，关键在于如何管理访问权限、进行代码审查和验证。

黑客透露，这段恶意代码被故意设定为无效状态，仅作为警告，而非真实威胁。他的目的是促使亚马逊公开承认漏洞并加强安全防护，而不是对用户或基础设施造成实际损害。

亚马逊安全团队调查后确认，由于技术问题，这段恶意代码并未执行。公司随后撤销了被攻破的凭证，移除了恶意代码，并发布了新的干净版本扩展。亚马逊在声明中重申，安全是其首要任务，并确认没有客户资源受到影响。用户被建议尽快更新到1.85.0版本或更高版本。

(以上内容均由AI生成)