Уязвимость Amazon Q Developer позволила злонамеренным репозиториям украсть учетные данные AWS через недобросовестные серверы MCP.

      TL;DRA Уязвимость в Amazon Q Developer позволила автоматически загружать злонамеренные MCP-серверы из клонированных репозиториев, что дало возможность злоумышленникам незаметно украсть учетные данные AWS.

      Серьезная уязвимость в Amazon Q Developer позволила злонамеренному репозиторию кода незаметно выполнять команды на машине разработчика и красть их учетные данные AWS. Исследование Wiz обнаружило уязвимость, отслеживаемую как CVE-2026-12957, и сообщило о ней в Amazon 20 апреля. Amazon исправила проблему 12 мая, а раскрытие информации стало публичным сегодня.

      Атака использовала то, как Amazon Q Developer обрабатывает MCP-серверы, протокол, который позволяет AI-ассистентам по программированию подключаться к внешним инструментам и источникам данных. Конфигурационный файл, размещенный внутри репозитория, автоматически регистрировал и запускал контролируемый злоумышленником MCP-сервер в момент, когда разработчик клонировал проект, без каких-либо запросов или согласий. Этот сервер унаследовал полные учетные данные AWS разработчика, IAM-роль и любые другие переменные окружения, доступные плагину IDE.

      Исследователи Wiz продемонстрировали атаку, создав доказательство концепции, которое выполняло стандартную команду идентификации AWS через злонамеренный MCP-сервер и отправляло вывод на внешний сервер. Команда возвращает идентификатор учетной записи AWS разработчика, ARN пользователя и учетные данные сессии, все, что нужно злоумышленнику для доступа к облачным ресурсам. Поскольку MCP-сервер запускался автоматически при открытии репозитория, для атаки не требовалось никакого взаимодействия, кроме клонирования кода, что уже позволило осуществить компрометацию цепочки поставок в других инструментах AI-программирования.

      Amazon исправила уязвимость, требуя явного одобрения пользователя перед запуском любого MCP-сервера и ограничив доступные переменные окружения для MCP-серверов. Вторая уязвимость, обнаруженная в том же аудите, CVE-2026-12958, показала, что плагин не проверял символические ссылки при записи файлов рабочего пространства, позволяя злоумышленнику записывать произвольные файлы в любом месте системы разработчика. Amazon исправила обе проблемы в обновленных версиях Language Servers для AWS и соответствующих плагинов IDE для VS Code, JetBrains, Eclipse и Visual Studio.

      Раскрытие добавляет Amazon Q Developer в растущий список инструментов AI-программирования, уязвимых к атакам цепочки поставок, которые эксплуатируют доверие, которое эти инструменты оказывают содержимому репозиториев. Claude Code от Anthropic был найден уязвимым к аналогичной атаке кражи учетных данных через инъекцию команд в GitHub Actions ранее в этом году. Cursor и Windsurf от Codeium также раскрыли уязвимости, связанные с MCP, в последние месяцы.

      Основная проблема заключается в том, что MCP, по замыслу, дает AI-ассистентам возможность вызывать внешние инструменты с любыми разрешениями, которые имеет хост-приложение. Когда репозиторий может незаметно зарегистрировать MCP-сервер, унаследующий учетные данные облака разработчика, поверхность атаки расширяется от самого кода до каждой службы, к которой может получить доступ разработчик. Amazon утверждает, что нет доказательств того, что уязвимость была использована в дикой природе, и в базе данных советов CISA нет известных атак.

      Разработчики, использующие Amazon Q Developer, должны немедленно обновить свои плагины IDE до последних доступных версий и проверить любые репозитории, которые они недавно клонировали, на наличие неожиданных конфигурационных файлов. Более широкий урок тот же, что повторяется в инструментах разработки AI: любой конфигурационный файл, который может вызвать выполнение кода в момент клонирования, является оружием, а инструменты, которые автоматически выполняют его, — это те, что держат предохранитель снятым.

      

      

       Опубликовано 26 июня 2026 года - 16:49 UTC

      

       Вернуться к началу