Екосистема Amazon Web Services зазнала серйозного удару через успішну компрометацію штучного інтелекту Amazon Q Developer. Зловмисник зумів впровадити деструктивні команди безпосередньо в офіційний реліз AI-помічника, призначеного для розробників. Найбільш тривожним аспектом інциденту стало те, що модифікована версія пройшла всі етапи контролю якості та була випущена у публічний доступ.
Технічні деталі атаки на Amazon Q Developer
Amazon Q Developer являє собою AI-платформу, розроблену спеціально для програмістів та IT-фахівців, функціонально подібну до GitHub Copilot. Інструмент інтегрований з AWS та провідними середовищами розробки, зокрема Visual Studio Code. Саме розширення для VS Code стало основною мішенню атаки, маючи понад 950 тисяч інсталяцій згідно з даними Visual Studio Marketplace.
Механізм злому виявився вражаючим у своїй простоті. Наприкінці червня 2025 року зловмисник створив pull request у офіційному GitHub-репозиторії Amazon, використовуючи випадковий акаунт без відповідних привілеїв. Однак незабаром отримав повні адміністративні права, що дозволило 13 липня впровадити шкідливий код, який 17 липня потрапив до релізу версії 1.84.0.
Аналіз шкідливого коду та його потенційних наслідків
Впроваджений промпт містив детальні інструкції для AI-агента щодо систематичного знищення користувацьких даних. Код передбачав очищення системи до заводських налаштувань, починаючи з домашнього каталогу користувача, та використання AWS CLI для видалення хмарних ресурсів, включаючи EC2-інстанси, S3-об’єкти та IAM-користувачів.
Особливу небезпеку становила здатність коду звертатися до AWS-профілів для отримання доступу до хмарної інфраструктури. Всі операції мали логуватися у файл /tmp/CLEANER.LOG, що свідчить про ретельно спланований характер атаки.
Мотивація зловмисника та масштаби інциденту
Хакер стверджує, що реальний ризик знищення даних був мінімальним – код навмисно зроблено нефункціональним як попередження. Мета атаки полягала у демонстрації критичних недоліків у процесах безпеки Amazon, які зловмисник охарактеризував як “театр безпеки з AI”.
Як “прощальний подарунок” було залишено посилання на GitHub з провокаційною адресою, яке згодом деактивували. Скомпрометовану версію 1.84.0 повністю видалили з історії релізів.
Офіційна реакція Amazon та заходи реагування
Представники Amazon підтвердили інцидент, заявивши про негайне усунення спроби експлуатації вразливості в open-source репозиторіях. Компанія наголосила, що ресурси клієнтів не постраждали, а доступ зловмисника до репозиторіїв заблоковано.
Користувачам рекомендовано оновитися до версії 1.85 Amazon Q Developer для VS Code як додаткову міру безпеки, хоча компанія стверджує, що обов’язкових дій не потрібно.
Цей інцидент виявив критичні проблеми у процесах розробки та контролю якості великих технологічних корпорацій. Можливість отримання адміністративного доступу випадковим акаунтом та проходження шкідливого коду через усі етапи релізу вказує на серйозні системні недоліки. Організаціям варто переглянути підходи до безпеки розробки, особливо при роботі з AI-інструментами, які можуть отримувати розширений доступ до системних ресурсів. Цей випадок слугує важливим нагадуванням про необхідність посилення заходів безпеки в розробці AI-систем та ретельнішого аудиту процесів управління кодом.
