黑客在亚马逊的AI 编码代理中注入了破坏性系统指令

研究人员最新发现恶意拉取请求通过了亚马逊的审核流程，进入了适用于Visual Studio Code的Amazon Q扩展的 1.84.0 版，向流行的AI助手提供了擦除用户本地文件和AWS资源的指令。攻击者只需从非特权GitHub帐户提交拉取请求即可获得访问权限，就获得了管理员级凭据。目前亚马逊从Visual Studio Marketplace中删除了1.84.0版本，并推送了修补的1.85.0版本，有效地从扩展的历史记录中删除了受损版本。