Hacker schleust gefährliche Befehle in Amazons KI-Coding-Assistenten ein

Ein bislang unbekannter Hacker hat offenbar erfolgreich eine manipulierte Version von Amazons KI-Coding-Assistenten „Q“ in Umlauf gebracht. Das geht aus Recherchen von 404 Media hervor. In der modifizierten Version der VS-Code-Erweiterung war ein Code-Schnipsel enthalten, der – zumindest theoretisch – darauf abzielte, Nutzerrechner zu löschen.

Zwar ist unklar, ob die Löschbefehle tatsächlich hätten ausgeführt werden können, doch der Vorfall wirft Fragen zur Sicherheitsinfrastruktur bei Amazon auf. Der Angreifer erklärte gegenüber 404 Media, er habe das Unternehmen gezielt bloßstellen wollen und sprach in diesem Zusammenhang von einem „Sicherheitstheater“.

Konkret hatte der Hacker eine sogenannte Pull-Anfrage über ein anonymes Konto an das öffentliche GitHub-Repository von Amazon Q gesendet. Laut seiner Aussage habe er dort „Admin-Zugangsdaten auf dem Silbertablett serviert bekommen“. Nur wenige Tage später – am 13. Juli – spielte er seine Änderungen in das Repository ein. Am 17. Juli wurde die manipulierte Version mit der Versionsnummer 1.84.0 von Amazon veröffentlicht – offenbar ohne dass der schadhafte Code erkannt wurde.

Amazon Q ist ein generativer KI-Assistent, der mit Produkten wie Microsofts Copilot oder OpenAIs ChatGPT konkurriert. Die VS-Code-Erweiterung, über die der Angriff lief, wird laut GitHub-Beschreibung über 950.000 Mal verwendet. Sie soll Entwickler beim Programmieren unterstützen, unter anderem mit Code-Vorschlägen in Echtzeit und einem integrierten Chatbot.

404 Media konnte eine archivierte Version der betroffenen Erweiterung analysieren und bestätigte, dass die entsprechende Schadfunktion enthalten war. Der genaue Inhalt der gefährlichen Eingabeaufforderung wurde bislang nicht vollständig veröffentlicht.

Quelle: 404 Media

Der Hacker gab an, dass dieser Befehl nicht wirklich in der Lage sei, die Computer der Nutzer zu löschen, aber für ihn ging es eher um den Zugriff, den er sich auf das Amazon-Tool verschafft hatte. „Mit diesem Zugriff hätte ich echte Löschbefehle direkt ausführen, einen Stealer starten oder mich dauerhaft einnisten können – habe mich aber dagegen entschieden“, erklärte er.

1.84.0 wurde aus dem Versionsverlauf der Erweiterung entfernt, als hätte es sie nie gegeben. Auf dieser Seite und anderen Seiten gibt es keine Ankündigung von Amazon, dass die Erweiterung kompromittiert wurde.

In einer Erklärung teilte Amazon 404 Media mit: „Sicherheit hat für uns oberste Priorität. Wir haben einen Versuch, eine bekannte Schwachstelle in zwei Open-Source-Repositorys auszunutzen, um den Code in der Amazon Q Developer-Erweiterung für VS Code zu verändern, schnell abgewehrt und bestätigt, dass keine Kundenressourcen betroffen waren. Wir haben das Problem in beiden Repositorys vollständig behoben. Für die Repositorys AWS SDK für .NET oder AWS Toolkit für Visual Studio Code sind keine weiteren Maßnahmen seitens der Kunden erforderlich. Als zusätzliche Vorsichtsmaßnahme können Kunden auch die neueste Version der Amazon Q Developer-Erweiterung für VS Code Version 1.85 ausführen.“ Amazon gab an, dass der Hacker keinen Zugriff mehr hat.

Hacker nehmen zunehmend KI-Tools ins Visier, um in die Systeme von Menschen einzudringen. Der massive Hackerangriff auf Disney im letzten Jahr war das Ergebnis eines Mitarbeiters, der ein KI-Tool mit Malware heruntergeladen hatte. Mehrere Websites, die versprachen, Fotos mit KI zu „entkleiden”, waren in Wirklichkeit Vehikel für die Installation von Malware, wie 404 Media zuvor berichtete.

Der Hacker hinterließ Amazon ein sogenanntes „Abschiedsgeschenk“, einen Link auf GitHub mit dem Satz „fuck-amazon“.

404 Media konnte am Dienstag bestätigen, dass dieser Link funktionierte. Er wurde inzwischen deaktiviert.

„Skrupellose Unternehmen lassen ihren überarbeiteten Entwicklern keinen Raum für Wachsamkeit“, erklärte der Hacker.

Das könnte Sie ebenfalls interessieren:

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky