Lỗ hổng nghiêm trọng cao trong Amazon Q Developer cho phép lưu trữ mã độc để âm thầm thực thi các lệnh trên máy của nhà phát triển và đánh cắp thông tin đăng nhập AWS của họ. Wiz Research đã phát hiện ra lỗ hổng này, được theo dõi là CVE-2026-12957 và báo cáo cho Amazon vào ngày 20 tháng 4. Amazon đã vá vấn đề này vào ngày 12 tháng 5 và thông tin tiết lộ đã được công khai vào ngày hôm nay.
Cuộc tấn công khai thác cách Amazon Q Developer xử lý các máy chủ MCP, một giao thức cho phép trợ lý mã hóa AI kết nối với các công cụ và nguồn dữ liệu bên ngoài. Tệp cấu hình được đặt bên trong kho lưu trữ sẽ tự động đăng ký và khởi động máy chủ MCP do kẻ tấn công kiểm soát ngay khi nhà phát triển sao chép dự án mà không cần bước nhắc nhở hoặc đồng ý. Máy chủ đó kế thừa thông tin xác thực AWS đầy đủ của nhà phát triển, vai trò IAM và mọi biến môi trường khác có sẵn cho plugin IDE.
Các nhà nghiên cứu của Wiz đã chứng minh cuộc tấn công bằng cách xây dựng một bằng chứng khái niệm chạy lệnh nhận dạng AWS tiêu chuẩn thông qua máy chủ MCP độc hại và gửi đầu ra đến máy chủ bên ngoài. Lệnh trả về ID tài khoản AWS, ARN người dùng và thông tin xác thực phiên của nhà phát triển, mọi thứ mà kẻ tấn công cần để truy cập tài nguyên đám mây. Vì máy chủ MCP tự động khởi chạy khi kho lưu trữ mở nên cuộc tấn công không yêu cầu tương tác ngoài việc sao chép mã, một mẫu đã cho phép thỏa hiệp chuỗi cung ứng trong các công cụ mã hóa AI khác.
TNW City Coworking Space – Nơi công việc tốt nhất của bạn diễn ra
Một không gian làm việc được thiết kế để phát triển, hợp tác và có cơ hội kết nối vô tận ở trung tâm công nghệ.
Amazon đã khắc phục lỗ hổng này bằng cách yêu cầu sự chấp thuận rõ ràng của người dùng trước khi bất kỳ máy chủ MCP nào có thể khởi động và bằng cách hạn chế các biến môi trường mà máy chủ MCP có thể truy cập. Lỗ hổng thứ hai được tìm thấy trong cùng một cuộc kiểm tra, CVE-2026-12958, tiết lộ rằng plugin không thể kiểm tra các liên kết tượng trưng khi ghi tệp không gian làm việc, cho phép kẻ tấn công ghi các tệp tùy ý ở bất kỳ đâu trên hệ thống của nhà phát triển. Amazon đã vá cả hai vấn đề trong các phiên bản cập nhật của Máy chủ ngôn ngữ cho AWS và các plugin IDE tương ứng cho VS Code, JetBrains, Eclipse và Visual Studio.
Tiết lộ này bổ sung Amazon Q Developer vào danh sách ngày càng tăng các công cụ mã hóa AI được phát hiện là dễ bị tấn công chuỗi cung ứng nhằm khai thác niềm tin mà các công cụ này đặt trong nội dung kho lưu trữ. Mã Claude của Anthropic được phát hiện dễ bị tấn công đánh cắp thông tin xác thực tương tự thông qua việc tiêm nhắc vào GitHub Actions vào đầu năm nay. Cursor và Windsurf của Codeium cũng đã tiết lộ các lỗ hổng liên quan đến MCP trong những tháng gần đây.
Vấn đề cơ bản là MCP, theo thiết kế, cung cấp cho trợ lý AI khả năng gọi các công cụ bên ngoài với bất kỳ quyền nào mà ứng dụng máy chủ nắm giữ. Khi kho lưu trữ có thể âm thầm đăng ký máy chủ MCP kế thừa thông tin đăng nhập trên đám mây của nhà phát triển, bề mặt tấn công sẽ mở rộng từ chính mã đến mọi dịch vụ mà nhà phát triển có thể truy cập. Amazon cho biết không có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác ngoài tự nhiên và cơ sở dữ liệu tư vấn của CISA không liệt kê các cuộc tấn công nào đã biết.
Các nhà phát triển sử dụng Amazon Q Developer nên cập nhật ngay các plugin IDE của họ lên phiên bản mới nhất hiện có và kiểm tra mọi kho lưu trữ mà họ đã sao chép gần đây để phát hiện các tệp cấu hình không mong muốn. Bài học rộng hơn cũng chính là bài học được lặp đi lặp lại trong các công cụ dành cho nhà phát triển AI: bất kỳ tệp cấu hình nào có thể kích hoạt việc thực thi mã tại thời điểm sao chép đều là vũ khí và các công cụ tự động thực thi mã đó là những công cụ giữ an toàn.
Nguồn The Next Web