Amazon исправила уязвимость высокой степени опасности в AI-ассистенте Amazon Q Developer, которая позволяла вредоносному репозиторию запускать команды на машине разработчика и получать доступ к его облачным секретам. По данным Wiz Research и The Hacker News, проблема получила идентификатор CVE-2026-12957 и оценку CVSS 8.5. Она была связана с обработкой конфигураций Model Context Protocol, или MCP.

Сценарий атаки выглядел пугающе коротким. Разработчик клонирует репозиторий, открывает его в рабочей среде и доверяет workspace. После этого Amazon Q считывает файл .amazonq/mcp.json внутри проекта и запускает описанные там MCP-серверы. MCP-серверы — это локальные процессы, которые AI-ассистент может поднимать для доступа к базам данных, API, инструментам сборки или другим ресурсам. Если такой процесс определён злоумышленником, это фактически означает запуск произвольной команды.

Критическая деталь в том, что запущенные процессы наследовали окружение разработчика. В обычной рабочей машине там могут быть AWS-ключи, токены cloud CLI, API-секреты, переменные окружения для production-инструментов и даже доступ к SSH-agent. Wiz показала proof of concept, где конфигурация запускала aws sts get-caller-identity и отправляла результат на сервер атакующего. Дальнейшие последствия зависят от прав конкретного разработчика: от чтения облачных ресурсов до создания постоянного IAM-доступа или движения к production-сервисам.

Amazon и Wiz по-разному акцентируют роль пользовательского согласия. В advisory Amazon говорится, что пользователь должен доверить workspace при запросе, то есть взаимодействие всё же требуется. Но с практической точки зрения разработчики часто доверяют репозиториям, если они выглядят как рабочие, тестовые или open source-проекты. Именно поэтому атака через конфигурационный файл в репозитории особенно опасна для команд, активно использующих AI-кодинг и MCP-интеграции.

Инцидент показывает новую поверхность риска вокруг AI-инструментов разработки. Ассистенты уже не просто подсказывают код: они запускают локальные процессы, подключаются к сервисам, читают контекст проекта и работают рядом с секретами. Поэтому безопасность таких инструментов должна оцениваться как безопасность полноценной автоматизации, а не как расширение редактора. Репозитории с «невинными» конфигами могут становиться аналогом supply chain-атаки на рабочую станцию разработчика.

Командам стоит обновить Amazon Q Developer, пересмотреть правила доверия workspace и ограничить доступ AI-инструментов к секретам. Практичная защита — запускать подозрительные проекты в изолированной среде, не хранить production-ключи в глобальном окружении, использовать краткоживущие токены и проверять директории вроде .amazonq перед открытием чужого кода. MCP остаётся полезным механизмом интеграции, но этот случай показывает: любой протокол, который умеет запускать локальные процессы, должен иметь строгую модель доверия.

Источник: The Hacker News, 26 июня 2026