Amazon Q VS Code laienduse nõrkus võimaldab ärakirjutiste vargust manipuleeritud repositooriumide kaudu ja näitab süstemaatilisi riske AI-ga toetatud arendaja tööriistades.
Üritus kasutab kompromisseeritud npm-pakette ja manipuleeritud GitHub-tavasid tokende ja juurdepääsuandmeid CI/CD-keskkondadest ja arendajate säilitutest otse välja tooma.
Amazon Q Developer võimaldas suvalist koodi käivitamist ettevalmistatud MCP-konfiguratsioonide kaudu pahatahtlikes repositooriumites, mis võimaldas mandaaditavargust (CVE-2026-12957, CVSS 8.5).