Trợ lý lập trình hỗ trợ AI của Amazon đã phải đối mặt với một vụ vi phạm bảo mật nghiêm trọng khi một hacker thành công trong việc tiêm mã độc hại thông qua một pull request đã được đưa vào sản xuất. Phiên bản bị xâm phạm chứa các lời nhắc phá hoại được thiết kế để xóa sạch cả thư mục cục bộ và tài nguyên đám mây, đặt ra những câu hỏi quan trọng về quy trình đánh giá mã cho các công cụ phát triển AI.
Thông tin Repository:
- Repo chính: aws/aws-toolkit-vscode trên GitHub
- Nhánh độc hại: "stability" (đã bị xóa)
- File bị xâm phạm: scripts/extensionNode.bk
- Số lượng cài đặt: Gần 1 triệu lượt cài đặt extension VS Code
Cuộc tấn công diễn ra như thế nào
Phân tích của cộng đồng đã tiết lộ các chi tiết kỹ thuật của cuộc tấn công tinh vi này. Hacker đã gửi một pull request có vẻ vô hại với thông điệp commit không liên quan đến những thay đổi mã thực tế. Commit độc hại đã tải xuống mã bổ sung tại thời gian chạy từ một nhánh stability mà kẻ tấn công đã tạo trong cùng repository.
Mã được tải xuống chứa các lời nhắc hướng dẫn Amazon Q thực thi các lệnh shell sẽ xóa các thư mục cục bộ, bao gồm thư mục home của người dùng, đồng thời sử dụng các lệnh AWS CLI để phá hủy tài nguyên đám mây như S3 buckets, EC2 instances và IAM roles. Cuộc tấn công được thiết kế để ghi lại tất cả các lần xóa vào một tệp có tên /tmp/CLEANER.LOG, tạo ra một bản ghi kỹ thuật số về sự phá hủy.
Điều đặc biệt đáng lo ngại là kẻ tấn công dường như đã có quyền truy cập push trực tiếp vào repository của Amazon, bỏ qua hoàn toàn các quy trình đánh giá pull request thông thường. Điều này cho thấy sự xâm phạm đã đi sâu hơn việc chỉ đơn thuần có một PR độc hại được merge.
Chi tiết kỹ thuật:
- Mục tiêu: Tiện ích mở rộng Amazon Q Developer VS Code
- Vector tấn công: Pull request độc hại với tính năng tải xuống mã runtime
- Payload: Các lệnh ngôn ngữ tự nhiên để phá hủy hệ thống
- Thiệt hại cục bộ: Xóa các thư mục người dùng, bỏ qua các tệp ẩn
- Thiệt hại cloud: Các lệnh AWS CLI để xóa bucket S3 , chấm dứt instance EC2 , xóa tài nguyên IAM
- Ghi log: Các hoạt động được ghi lại vào
/tmp/CLEANER.LOG
Yếu tố khuếch đại AI
Việc sử dụng AI như một vector tấn công đã thêm một chiều hướng đáng lo ngại vào sự cố này. Thay vì viết các lệnh phá hoại cụ thể có thể kích hoạt cảnh báo bảo mật, kẻ tấn công đã sử dụng các lời nhắc bằng ngôn ngữ tự nhiên để hướng dẫn AI thực hiện các hành động tương tự. Cách tiếp cận này đóng vai trò như một công cụ nhân lực, cho phép các hướng dẫn chung được dịch thành các lệnh chi tiết, cụ thể cho hệ thống.
Bạn không cần phải viết các lệnh cụ thể, bạn chỉ cần nhắc những điều chung chung và nó sẽ hữu ích điền vào tất cả các chi tiết. Điều này cũng cho phép bạn tránh có một số từ khóa nhất định trong PR (ví dụ:
rm -rf) và có thể tránh được phát hiện.
Kỹ thuật này có thể trở nên ngày càng phổ biến khi các công cụ lập trình AI có thêm nhiều khả năng và quyền hạn trong môi trường phát triển.
Phản hồi của Amazon và vấn đề minh bạch
Cách xử lý sự cố của Amazon đã bị chỉ trích vì thiếu minh bạch. Công ty đã âm thầm gỡ bỏ phiên bản 1.84.0 của extension Amazon Q Developer khỏi Visual Studio Code Marketplace mà không phát hành cảnh báo bảo mật, ghi chú changelog, hoặc định danh CVE.
Tuyên bố chính thức của công ty khẳng định rằng không có tài nguyên khách hàng nào bị ảnh hưởng, nhưng khẳng định này khó có thể xác minh. Vì mã độc hại được thiết kế để hoạt động âm thầm và ghi lại hoạt động cục bộ thay vì báo cáo lại cho hệ thống của Amazon, không có cách nào đáng tin cậy để xác nhận liệu có người dùng nào thực sự chạy phiên bản bị xâm phạm trong khoảng hai ngày nó có sẵn.
Sự cố chỉ được phát hiện thông qua báo cáo điều tra của 404 Media, không phải thông qua quy trình tiết lộ của chính Amazon. Cách tiếp cận xử lý các sự cố bảo mật bằng cách xóa bằng chứng thay vì giao tiếp minh bạch đã gây ra lo ngại về cách các vấn đề tương tự có thể được quản lý trong tương lai.
Dòng thời gian tấn công:
- 13 tháng 7, 2025: Commit độc hại được đẩy trực tiếp vào nhánh master
- ~2 ngày: Phiên bản bị xâm phạm có sẵn trên VS Code Marketplace
- Phiên bản 1.84.0: Bản phát hành bị ảnh hưởng được gỡ bỏ âm thầm khỏi marketplace
- Không có CVE được phát hành, không có thông báo bảo mật nào được công bố
Tác động rộng hơn đối với các công cụ phát triển AI
Sự cố này làm nổi bật những thách thức bảo mật độc đáo do các công cụ phát triển hỗ trợ AI đặt ra. Các ứng dụng này thường yêu cầu quyền hạn rộng rãi để hoạt động hiệu quả, bao gồm khả năng thực thi lệnh shell và tương tác với các dịch vụ đám mây. Khi bị xâm phạm, chúng có thể gây ra thiệt hại đáng kể hơn so với các công cụ phát triển truyền thống.
Cuộc tấn công cũng chứng minh cách các công cụ AI đang trở thành mục tiêu hấp dẫn cho các hacker chính xác vì khả năng rộng lớn của chúng và sự tin tưởng mà các nhà phát triển dành cho chúng. Khi những công cụ này trở nên phổ biến hơn trong quy trình phát triển phần mềm, các tiêu chuẩn bảo mật và quy trình đánh giá xung quanh chúng sẽ cần phải phát triển tương ứng.
Phản ứng của cộng đồng khá trái chiều, với một số người kêu gọi minh bạch hơn từ Amazon trong khi những người khác đặt câu hỏi liệu sự cố này có đại diện cho một lỗ hổng cơ bản trong bảo mật công cụ AI hay chỉ đơn giản là sự thất bại của các thực hành quản lý repository cơ bản có thể ảnh hưởng đến bất kỳ công cụ phát triển nào có quyền hạn tương tự.
Tham khảo: Amazon Q: Now with Helpful AI-Powered Self-Destruct Capabilities
 |
|---|
| Hình ảnh ấn tượng về quả bóng cricket vỡ tan tượng trưng cho tác động của các lỗ hổng bảo mật trong các công cụ phát triển hỗ trợ AI |