Amazon lost kwetsbaarheden in AI-assistent Amazon Q stilletjes op
Amazon heeft in stilte meerdere beveiligingsproblemen verholpen in de Amazon Q Developer VS Code-extensie, een AI-code-assistent met meer dan een miljoen downloads. De kwetsbaarheden maakten het voor aanvallers mogelijk om via 'prompt injection' geheime informatie, zoals API-sleutels, te stelen en op afstand code uit te voeren.
De beveiligingsproblemen werden ontdekt door onderzoeker Johann Rehberger, die gedetailleerd beschreef hoe de AI-agent kon worden gemanipuleerd zo meldt The Register. Door het AI-model te misleiden met kwaadaardige instructies, kon een aanvaller toegang krijgen tot gevoelige bestanden van de ontwikkelaar.
'Voldoet niet aan criteria voor een CVE'
Een woordvoerder van AWS bevestigde dat de problemen zijn opgelost in versie 1.24.0 van de extensie, maar gaf aan dat er geen publieke waarschuwing of CVE-nummer (Common Vulnerabilities and Exposures) zou worden uitgegeven. AWS stelt dat de kwetsbaarheden niet voldoen aan de criteria voor een CVE, omdat "het geen kwetsbaarheid is op dezelfde manier als het uitvoeren van opzettelijk kwaadaardige code geen kwetsbaarheid is."
De onderzoeker uit kritiek op het gebrek aan transparantie en stelt dat het stilzwijgen klanten onvoldoende informeert over de noodzaak om te patchen.
Meer over Security
Over Witold Kepinski
