Серьезный инцидент кибербезопасности потряс экосистему Amazon Web Services: злоумышленник успешно скомпрометировал ИИ-помощника Amazon Q, внедрив в него деструктивные команды для удаления пользовательских данных. Что особенно тревожно — модифицированная версия была официально выпущена в публичный релиз, минуя все системы контроля качества.
Детали атаки на Amazon Q Developer
Amazon Q представляет собой искусственный интеллект, специально разработанный для разработчиков и ИТ-специалистов. Функционально схожий с GitHub Copilot, он интегрирован в AWS и популярные среды разработки, включая Visual Studio Code. Именно расширение для VS Code стало целью атаки — по данным Visual Studio Marketplace, оно установлено более 950 000 раз.
Механизм взлома оказался поразительно простым. В конце июня 2025 года злоумышленник создал pull request в официальном GitHub-репозитории Amazon, используя случайную учетную запись без соответствующих привилегий. Однако вскоре получил полные административные права, что позволило ему 13 июля внедрить вредоносный код, который 17 июля был включен в релиз версии 1.84.0.
Анализ вредоносного кода
Внедренный промпт содержал четкие инструкции для ИИ-агента по систематическому уничтожению данных. Код предписывал помощнику очистить систему до заводских настроек, начиная с домашнего каталога пользователя, и использовать AWS CLI для удаления облачных ресурсов, включая EC2-инстансы, S3-объекты и IAM-пользователей.
Особую опасность представляла способность кода обращаться к AWS-профилям для получения доступа к облачной инфраструктуре. Все операции должны были логироваться в файл /tmp/CLEANER.LOG, что указывает на продуманность атаки.
Мотивы и последствия инцидента
Хакер утверждает, что реальный риск уничтожения данных был минимальным — код был намеренно сделан нефункциональным в качестве предупреждения. Цель атаки заключалась в демонстрации серьезных недостатков в процессах безопасности Amazon, которые злоумышленник назвал «театром безопасности с ИИ».
В качестве «прощального подарка» была оставлена ссылка на GitHub с провокационным адресом, которая впоследствии была деактивирована. Компрометированная версия 1.84.0 была полностью удалена из истории релизов, словно ее никогда не существовало.
Официальный ответ Amazon
Представители Amazon подтвердили инцидент, заявив о немедленном устранении попытки эксплуатации уязвимости в open-source репозиториях. Компания подчеркнула, что ресурсы клиентов не пострадали, а доступ злоумышленника к репозиториям был заблокирован.
Пользователям рекомендовано обновиться до версии 1.85 Amazon Q Developer для VS Code в качестве дополнительной меры предосторожности, хотя компания утверждает, что никаких обязательных действий не требуется.
Выводы для индустрии кибербезопасности
Данный инцидент высветил критические проблемы в процессах разработки и контроля качества крупных технологических корпораций. Возможность получения административного доступа случайной учетной записью и прохождение вредоносного кода через все этапы релиза указывает на серьезные системные недостатки.
Этот случай служит важным напоминанием о необходимости усиления мер безопасности в разработке ИИ-систем и более тщательного аудита процессов управления кодом. Организациям следует пересмотреть свои подходы к безопасности разработки, особенно при работе с инструментами искусственного интеллекта, которые могут получать расширенный доступ к системным ресурсам.