Otse asjaasjalikult: Amazon Q Developer võimaldas suvalist koodi käivitamist ettevalmistatud MCP-konfiguratsioonide kaudu pahatahtlikes repositooriumites, mis võimaldas mandaaditavargust (CVE-2026-12957, CVSS 8.5).
Turvahaavatavus Amazon Q Developer’s (CVE-2026-12957, CVSS 8.5) võimaldas pahatahtliste repositooriumi konfiguratsioonide kaudu suvalist käskluste käivitamist ja pilve mandaaditavargust. Amazon on tõrke vahepeal parandanud.
Haavatavus puudutas Model Context Protocol (MCP) serverite käsitlemist Amazoni tehisintellekti-põhises koodi-assidendi poolt. Ründaja võis ettevalmistada pahatahtliku repositooriumi ja seeläbi sundida arendajaid, kes repositooriumi avavad ja tööruumi konfiguratsiooni kinnitavad, et Amazon Q automaatselt suvatuid käsklusi käivitaks.
Rünnaku tee oli lühike ja otsene: arendaja avab repositooriumi, usaldab tööruumi konfiguratsiooni ja tehisintellekti-assistent käivitab MCP-konfiguratsioonides sisalduvad käsklused. See võis võimaldada ründajatel pommutada ründemärgi abil saada arendaja pilve mandaate ja seeläbi pääseda juurde majutatud süsteemidele ja andmetele.
Tõrget klassifitseeritakse kriitiliseks (CVSS 8.5). CISOdele tähendab see, et tarneahela riskid tehisintellekti-toega arendusvahenditega seoses esindavad konkreetsteid ründevektoreid — eriti siis, kui arendajad pääsevad automaatselt juurde repositooriumi konfiguratsioonidele või usaldavad neid.
Allikas: thehackernews.com · Avaldatud 26. juuni 2026
Lumi AI News — tehisintellekti-abil kureeritud vastavalt EU AI Akti artiklile 50. Parafraas ja klassifikatsioon Lumi News Pipeline v1.7.1 kaudu.