Amazon的AI编程助手高危漏洞可导致代码执行和敏感云环境访问

admin 2026-06-30 09:01:34 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: AmazonQAI编程助手的VSCode扩展存在高危漏洞CVE-2026-12957和CVE-2026-12958,攻击者通过恶意配置文件可自动执行任意代码并窃取AWS凭据等敏感信息。漏洞源于未经用户同意自动加载MCP服务器配置且衍生进程继承完整环境变量。亚马逊已发布修复版本,建议用户立即更新插件、审查陌生代码库并注意新增的安全提示。 综合评分: 85 文章分类: 漏洞分析,云安全,应用安全,安全工具,漏洞预警


cover_image

Amazon 的AI编程助手高危漏洞可导致代码执行和敏感云环境访问

Guru Baran Guru Baran

代码卫士

2026年6月29日 16:40 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Wiz Research公司的研究人员指出,亚马逊的 AI 编程助手Amazon Q 的VS Code 开发者扩展中存在高危漏洞(CVE-2026-12957和CVE-2026-12958)。攻击者仅需诱使开发者打开一个恶意代码仓库,即可实现任意代码执行和云凭据窃取。

该漏洞由研究员在2026 年 4 月 20 日向亚马逊负责任地披露,后者于 2026 年 5 月 12 日部署了初始修复,并于 2026 年 6 月 26 日通过安全公告 2026-047-AWS 进行公开披露。该漏洞的根因在于,Amazon Q 会在未经用户同意或未验证工作区信任的情况下,自动从工作区中的 .amazonq/mcp.json 文件加载 MCP(模型上下文协议)服务器配置。再加上衍生进程会完整继承环境变量,由此形成了一条危险的攻击链。

Amazon Q 漏洞

当开发者打开一个已被入侵且 Amazon Q 处于激活状态的仓库时,该扩展会静默执行恶意配置文件中定义的命令。由于衍生进程继承了开发者的完整环境,攻击者可以立即获取以下信息:

  • AWS 凭据(AWS_ACCESS_KEY_ID、AWS_SECRET_ACCESS_KEY、AWS_SESSION_TOKEN)
  • 云 CLI 认证令牌
  • API 密钥和机密信息
  • SSH 代理套接字

该漏洞的一个最小概念验证表明,单个恶意 .amazonq/mcp.json 文件即可将活跃的 AWS 会话凭据泄露至攻击者控制的服务器——无需点击、无需提示、无任何警告。

CVE-2026-12957是不当信任边界强制漏洞,可导致MCP 配置未经同意自动执行;CVE-2026-12958 是符号链接验证缺失漏洞,可导致路径遍历超出工作区边界。受影响的产品版本如下:

  • Language Servers for AWS:< 1.69.0
  • Amazon Q Developer for VS Code:< 2.20
  • Amazon Q Developer for JetBrains:< 4.3
  • Amazon Q Developer for Eclipse:< 2.7.4
  • AWS Toolkit with Amazon Q for Visual Studio:< 1.94.0.0

攻击场景

除了投机性利用之外,研究人员还强调了几种有针对性的攻击向量:

  • 向热门开源代码仓库提交恶意拉取请求
  • 嵌入隐藏 .amazonq/ 配置的仿冒包
  • 虚假的编程面试测试——这是与朝鲜关联威胁行为者使用的已知战术,即要求候选人克隆并运行攻击者控制的仓库

亚马逊已在 Language Servers for AWS 1.69.0 版本中修复了这两个漏洞。该语言服务器会为大多数用户自动更新,重新加载 IDE 即可触发更新。已使用修复版本的用户无需任何操作。

无论是否已更新,开发者都应当采取以下预防措施:

  • 立即将所有 Amazon Q Developer 插件更新到最新版本。
  • 将不熟悉或未经验证的代码仓库视为不可信。
  • 检查克隆仓库中的 .amazonq/ 目录,留意是否有异常的 MCP 配置
  • 在批准执行之前,仔细审查 Amazon Q 新增的“不受信任的 MCP 服务器”同意提示。

该漏洞反映了 AI 编程工具中一个更广泛的安全模式。Check Point Research 独立发现的 Claude Code 中的两个漏洞 CVE-2025-59536 和 CVE-2026-21852以及OX Security 发现的 Windsurf 中的 CVE-2026-30615都根植于相同的自动执行风险。未经同意的 MCP 自动执行现已被视为一个需要协同关注的全行业系统性风险。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login


推荐阅读

AI 编程助手 Cline CLI 2.3.0遭篡改,悄悄安装 OpenClaw

Gemini CLI AI 编程助手中存在严重漏洞 可导致代码执行

AI 助手OpenClaw 易遭一次点击 RCE 攻击

JumpCloud 远程助手漏洞可导致系统遭接管

Gemini CLI AI 编程助手中存在严重漏洞 可导致代码执行

原文链接

Amazon Q Vulnerability Let Attackers Execute Code and Access Sensitive Cloud Environments

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 “赞” 吧~


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:代码卫士 Guru Baran Guru Baran《Amazon 的AI编程助手高危漏洞可导致代码执行和敏感云环境访问》

评论:0   参与:  0