▲
- Um código malicioso foi inserido na página do GitHub do Amazon Q por meio de um pull request.
- O código poderia restaurar configurações de fábrica e apagar arquivos e recursos na nuvem dos usuários.
- O incidente afetou a versão 1.84.0, que foi baixada por cerca de um milhão de usuários.
- A Amazon descartou o código sem que ele fosse executado e lançou uma versão corrigida.
- Especialistas destacaram a falha na gestão e revisão do código aberto pela Amazon.
O Amazon Q, um assistente de programação de inteligência artificial da Amazon, enfrentou um problema de segurança. Um hacker conseguiu inserir um código malicioso na página do GitHub da ferramenta. Esta página é usada para gerenciar os arquivos de código aberto do assistente. O código foi adicionado por meio de um que parecia ser um pedido de alteração normal de desenvolvedores, conhecido como pull request.
Uma vez aceito, o pull request continha instruções que poderiam fazer o Amazon Q restaurar um sistema para as configurações de fábrica. Ele também poderia apagar arquivos e recursos de nuvem conectados à conta AWS do usuário. A instrução incluía comandos para limpar o diretório inicial do usuário, ignorar diretórios ocultos e apagar arquivos de configuração usando comandos bash.
Além disso, o código visava encontrar e usar perfis AWS para listar e apagar recursos de nuvem. Isso seria feito com comandos da AWS CLI, como aws --profile ec2 terminate-instances, aws --profile s3 rm e aws --profile iam delete-user. A ideia era que o assistente continuasse a tarefa até a conclusão, registrando as exclusões em um arquivo /tmp/CLEANER.LOG e gerenciando erros de forma adequada.
Código Malicioso Espalhado e Detalhes da Falha
A versão 1.84.0 da extensão do Amazon Q para Visual Studio Code continha o código perigoso. Esta versão foi disponibilizada ao público em 17 de julho e foi baixada por cerca de um milhão de usuários. Inicialmente, a Amazon não identificou o problema. A empresa removeu a versão problemática apenas depois que ela já havia se espalhado para um grande número de desenvolvedores.
O responsável pelo ataque explicou à 404 Media que a intenção não era causar danos reais. O código foi deixado incompleto de propósito. O objetivo, segundo o hacker, era destacar as fragilidades da segurança da Amazon, descrevendo suas defesas como uma “fachada de segurança” — algo que parece robusto, mas não funciona na prática. Este incidente sublinha a importância de planos de segurança digital eficazes.
Leia também:
Análise de Especialistas e Resposta da Amazon
Para Steven Vaughan-Nichols, da ZDNet, o problema não estava nas ferramentas de código aberto em si, mas na forma como a Amazon as gerencia. Ele apontou que a empresa falhou em verificar o código de forma apropriada antes de aceitá-lo. Revisões mais rigorosas poderiam ter evitado que a falha chegasse aos usuários. Este episódio reforça a discussão sobre a resistência e desafios na adoção da inteligência artificial em ambientes críticos.
A Amazon declarou que o código malicioso não foi executado, devido à forma como foi implementado. Mesmo assim, a empresa removeu o código problemático e cancelou o acesso do hacker. Uma versão corrigida, a 1.85.0, foi lançada, e os usuários foram orientados a atualizar o mais rápido possível. A Amazon afirmou também que nenhum dado de cliente foi comprometido e que a segurança continua sendo sua maior prioridade. A gestão de dados e recursos de nuvem é um desafio constante.
Apesar do código não ter sido ativado, o incidente serve como um lembrete sobre a contínua necessidade de vigilância em sistemas de desenvolvimento. Garantir que as contribuições em plataformas abertas passem por verificações completas é fundamental para proteger os usuários e a integridade das ferramentas. A Amazon continua investindo em sua infraestrutura de IA, mas incidentes como este destacam a complexidade de manter a segurança em larga escala.
Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.
Via Gizchina.com
