Amazon Q'nun Güvenlik Açığı: Projeyi Açmak Bulut Erişimini Çalmaya Yeterliydi
Amazon'un yapay zeka destekli programlama asistanı Amazon Q'da, bir projenin açılmasının bile kullanıcının bulut erişim bilgilerini çalmaya yetebilecek ciddi bir güvenlik açığı keşfedildi. Wiz adlı bulut güvenliği şirketi tarafından tespit edilen bu açık, CVE-2026-12957 olarak adlandırıldı ve 10 üzerinden 8.5 gibi yüksek bir ciddiyet puanı aldı.
Açığın temelinde, Amazon Q'nun .amazonq/mcp.json adlı bir yapılandırma dosyasını okuyarak Model Context Protocol (MCP) aracılığıyla dış araçlarla etkileşim kurması yatıyor. Ancak bu dosyanın içeriğini çalıştırmak için kullanıcıdan herhangi bir onay istenmemesi veya dosyanın kaynağının doğrulanmaması, kötü niyetli kişilerin kolayca sisteme sızmasına olanak tanıyor.
Bu açık sayesinde saldırganlar, kullanıcının bulut erişim anahtarlarını, oturum belirteçlerini, API sırlarını ve hatta SSH anahtarlarını ele geçirebiliyor. Amazon, 1.65.0 sürümüyle bu açığı kapattığını bildirdi. Ancak benzer açıkların diğer yapay zeka destekli kodlama araçlarında da görüldüğü belirtiliyor.
Amazon Q'daki bu güvenlik açığı, yapay zeka destekli araçların yaygınlaşmasıyla birlikte ortaya çıkan riskleri gözler önüne seriyor. Bir projenin açılmasının bile bulut erişim bilgilerini çalmaya yetmesi, güvenlik protokollerinin ne kadar yetersiz olabileceğini ve 'güvenlik duvarlarının' nasıl kolayca aşılabileceğini gösteriyor. Visual Studio Code'un 'çalışma alanı güveni' gibi güvenlik önlemlerinin Amazon Q tarafından bypass edilmesi, yazılım geliştirme ekosistemindeki zayıf noktaları ortaya çıkarıyor. Bu durum, sadece Amazon için değil, genel olarak yapay zeka destekli araçlar geliştiren tüm şirketler için önemli bir ders niteliğindedir. Gelecekte, bu tür araçların geliştirilmesinde güvenlik öncelikli bir yaklaşım benimsenmeli, kullanıcı onay mekanizmaları güçlendirilmeli ve potansiyel riskler minimize edilmelidir.
📌 Kaynak
Bu haber XML kaynağından derlenmiştir. Tamamı için orijinal habere gidin.
Orijinal haberi oku →