Visual Studio Code (VS Code) の公式 Amazon Q 拡張機能が侵害され、ユーザーのホームディレクトリを消去してすべての AWS リソースを削除するプロンプトが表示されるようになりました。
この悪質な拡張機能は VS Code マーケットプレイスで 2 日間公開されていましたが、直接的な被害をもたらすことよりも、AWS に恥をかかせてセキュリティの悪質さを露呈させることが目的だったようです。
VS Code用AWSツールキットのAmazon Q部分へのコミットには、追加ファイルをダウンロードするスクリプトが含まれていますextensionNode.ts。このファイルは として保存されます。このファイルのソースには、AIエージェントにユーザーのホームディレクトリから非表示でないすべてのファイルを削除し、「AWSプロファイルを検出して使用し、AWS CLIコマンドを使用してクラウドリソースを一覧表示および削除する」ように指示するプロンプトが含まれています。
--trust-all-tools次に、スクリプトは引数とを含めてこのプロンプトを Amazon Q CLI に渡します --no-interactive。
侵害された拡張機能によってダウンロードされる悪意のあるAIプロンプト – クリックして拡大
報道によると、「ハッカーの責任者を名乗る人物」が404 Media社に連絡し、ワイパーは欠陥があるように設計されたものだが、「セキュリティの不備を公に認めるかどうかを見るための警告」だと説明したという。
この人物は、「アクセス権のないランダムなアカウント」からAWSリポジトリにプルリクエストを送信し、管理者の認証情報を与えられたと主張しました。その後、AWSは「全く気づかずに」侵害されたパッケージをリリースしたとのことです。
この報告が正しいかどうかはさておき、問題のコミットは確かに7月19日に拡張機能のバージョン1.84にマージ・リリースされ、2日後に公開されたバージョン1.85で元に戻されたことがわかります。バージョン1.85の変更ログには、「ユーザーに影響のないその他の変更」と記載されています。
修正された拡張機能の変更ログには、ユーザーに直接関係のないさまざまな変更が記載されています。クリックして拡大してください。
AWS はセキュリティ情報を公開しており、そこには次のように記載されています。
- AWSがAIエージェントの列車を全速力で前進
- AWS、コーディングに飽きた開発者向けにKiro IDEをプレビュー
- 裏切られたAWSはVMwareがメインフレームのように無骨になったと見ている
- AIと分析が融合した新世代のAmazon SageMaker
この声明は、インシデントの発生原因という重要な問題には触れていません。VS Codeの人気AWS拡張機能に不正なコードが含まれていた場合、深刻な事態を招く可能性があります。AWS SDK for .NETも侵害されたという兆候はありますが、詳細は不明です。AWSのセキュリティ情報には「AWS SDK for .NETユーザーは何もする必要はありません」と記載されています。
悪意のあるコミットは、以前マージされたコミットと同じタイトルですが、コード自体は全く関連がありません。また、このコミットは明らかに不審な点があり、GitHub上のどこかからファイルをダウンロードしてパッケージ内の別のファイルを上書きしています。おそらく、コードのセキュリティチェックをAIに過度に依存し、今回のケースでは不十分な結果となり、人間によるチェックが不十分になっていることを示唆しているのでしょう。この考え方は、悪意のある人物が述べた「冷酷な企業は、過重労働の開発者に警戒の余地を与えない」という発言によって裏付けられています。
AWSは最近、多くの従業員を解雇しており、Amazon CEOのアンディ・ジャシー氏は従業員へのメモの中で、「会社全体でAIを広範に活用することで効率性が向上するため、AIによって当社の全従業員が削減される可能性が高い」と述べた。
今回のインシデントが示唆するように、こうした「効率性の向上」はAWS公式ツールのセキュリティに影響を与える可能性があるのでしょうか?AWSはこれまで強力なセキュリティ実績を維持してきたことを考えると、これは懸念すべき可能性です。
AWSウォッチャーのコーリー・クイン氏は、「このリポジトリに対するAmazonの社内レビュープロセスは実際にはどのようなものだったのか」という重要な疑問を投げかけ、「これは、Azureのセキュリティ体制が根本的に失敗した2022年に私が指摘したのと同じ混乱だ。つまり、企業がセキュリティを後回しにして、それが公に爆発するまで放置しているのだ」と結論付けた。®
