Đang tải bảng tin…
Dark Reading00 bình luận6 phút đọc
Amazon Q VS Extension Flaw Leads to Cloud Credential Theft
AWS has patched a high-severity vulnerability (CVE-2026-12957) in the Amazon Q Developer VS Code extension that allowed attackers to steal cloud credentials by planting a malicious repository. The flaw stemmed from Amazon Q automatically loading and executing MCP server configurations from workspace files without user approval, and because spawned processes inherited the developer's full environment, attackers could access AWS credentials, API keys, and SSH secrets. A proof-of-concept confirmed that opening a malicious repo could silently capture an active AWS session before any code review occurs. The fix is included in AWS Language Server version 1.65.0. Researchers note this is part of a broader pattern of MCP-related vulnerabilities affecting AI coding tools including Claude Code, Cursor, and Windsurf, and urge organizations to treat AI tools with environment access as potential credential exfiltration paths.
Nguồn: https://www.darkreading.com/cloud-security/amazon-q-vs-extension-flaw-leads-cloud-credential-theft. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Đề xuất cho bạn
Machine Learning Mastery111 phútAI
Model Context Protocol Explained in 3 Levels of Difficulty
MCP là tiêu chuẩn mở của Anthropic nhằm giải quyết vấn đề tích hợp M×N trong ứng dụng AI bằng cách chuẩn hóa giao tiếp giữa ứng dụng (host), trình xử lý (client) và cầu nối (server). Giao thức này hỗ trợ tools, resources và prompts, truyền tải qua JSON-RPC 2.0 trên stdio hoặc Streamable HTTP, đồng thời đảm bảo bảo mật bằng OAuth, sandboxing và triển khai linh hoạt từ local đến serverless.
Lập trình viên AI nên đọc bài này để hiểu cách tối ưu hóa giao tiếp giữa hệ thống AI với các công cụ bên ngoài bằng một tiêu chuẩn mở, giúp tiết kiệm thời gian phát triển và giảm thiểu sự phụ thuộc vào các connector riêng lẻ.
