亞馬遜AI編程助手遭篡改，被植入刪庫等破壞性指令

（來源：奇安信）

　　這一事件並未對用户造成影響，但凸顯出了AI風險日益加劇，惡意行為者在薄弱的防護與監管環境中卻能利用強大的工具發動攻擊。

　　安全內參報道，一名黑客成功將破壞性系統命令植入亞馬遜VS Code擴展中。隨后，這一用於接入AI驅動的編碼助手Amazon Q的擴展通過官方更新被推送給用户。

　　這段未經授權的代碼指示AI代理表現爲一個具有文件系統和雲工具訪問權限的「系統清理器」，目標是刪除用戶數據及其雲端資源。

　　黑客在接受外媒404 Media採訪時表示，他們原本可以部署更具破壞性的負載，但選擇通過發佈這些命令的方式，表達對亞馬遜所謂「AI安全作秀」的抗議。

　　此次攻擊鎖定了Amazon Q的VS Code擴展作為目標。這一開發工具的安裝量已超過95萬次。攻擊者利用一個未經驗證的GitHub賬號，於6月底提交了一個拉取請求，據稱隨后還獲得了管理權限。

　　7月13日，攻擊者將惡意代碼插入代碼庫。7月17日，亞馬遜發佈了被篡改的1.84.0版本，據稱當時尚未意識到代碼遭到修改。

　　AWS發言人表示：「我們已迅速採取措施，緩解有人試圖利用兩個開源代碼庫中已知問題篡改Amazon Q開發者版VS Code擴展代碼的攻擊，並確認沒有客户資源受到影響。我們已完全修復這兩個代碼庫中的問題。客户無需對AWS SDK for .NET或AWS Toolkit for Visual Studio Code採取進一步行動。作為額外的預防措施，客户可以更新Amazon Q開發者版VS Code擴展至最新版本1.85。」

AI編程工具被利用

　　此次事件表明，生成式AI工具及其在開發環境中集成使用的安全風險正日益增長

網絡安全專家Sunil Varkey指出：「儘管這可能是一種引發風險關注的抗議行為，但它突顯了AI生態系統中一個愈發嚴重的關鍵威脅：在缺乏穩健的防護機制、持續的監控與有效治理框架的情況下，強大的AI工具極易被惡意行為者利用。一旦如編碼助手這類AI系統被攻破，威脅將成倍增加：攻擊者不僅可將惡意代碼注入軟件供應鏈，用户也可能在毫不知情的情況下繼承漏洞或后門。」

　　IDC亞太區網絡安全服務高級研究經理Sakshi Grover表示，該事件還揭示了將開源代碼集成進企業級AI開發工具時所固有的風險。如果貢獻流程缺乏安全治理，這種風險更高。

　　Grover指出：「它還暴露出，企業在依賴未經嚴格審查的開源貢獻時，AI開發中的供應鏈風險會被放大。此次事件中，攻擊者利用GitHub的工作流機制注入了一個惡意系統提示，從而在運行時有效地重定義了AI代理的行為。」

DevSecOps面臨壓力

　　分析人士指出，該事件反映出軟件交付流程中在保障代碼安全性方面存在系統性漏洞，尤其是在驗證與監管發佈至生產環境的代碼方面。

　　對於企業團隊而言，該事件凸顯了在DevSecOps實踐中引入面向AI的威脅建模的必要性，以應對模型漂移、提示注入與語義操控等新興風險。

　　Grover表示：「組織應採用不可變的發佈流程，並實施基於哈希的代碼驗證機制，同時在持續集成/持續交付（CI/CD）流程中集成異常檢測能力，以便儘早識別未經授權的變更。此外，即使是出於預防目的的移除行為，也應保持透明，並建立及時的事件響應機制。這對於在AI代理逐漸具備系統級自主性的背景下，維繫開發者社區的信任至關重要。」

　　值得注意的是，此次漏洞也説明，即便是在大型雲服務提供商內部，DevSecOps在AI開發工具方面的成熟度依然滯后於實際需求。

　　Confidis創始人兼首席執行官Keith Prabhu指出：「AI在開發環境中的迅猛擴張使DevSecOps捉襟見肘。從亞馬遜的官方迴應來看，企業安全團隊應從中吸取的重要教訓是：構建能夠快速識別此類安全漏洞的治理與審查機制，並及時與受影響方進行溝通。」

　　CyberMedia Research產業研究副總裁Prabhu Ram表示，組織應通過嚴格的代碼審查流程、持續監控工具行為、實施最小權限訪問控制，並敦促廠商增強透明度，以強化自身防禦能力。

　　Ram強調：「這些舉措將有助於應對確保複雜軟件供應鏈安全、並在開發生命周期中嵌入安全機制所面臨的持續挑戰。歸根結底，提升DevSecOps的成熟度並構建分層防禦體系，是當今軟件生態中應對持續演化威脅的關鍵所在。」