В июле 2025 года мир технологий всколыхнула новость о том, что хакеру удалось внедрить вредоносные команды в популярного искусственного интеллектуального помощника Amazon Q, ориентированного на разработчиков и ИТ-специалистов. Этот инцидент привлек внимание как экспертов по кибербезопасности, так и широкой аудитории, поскольку демонстрирует не только технические слабости, но и риски, связанные с использованием искусственного интеллекта в инструментах повседневной работы. Amazon Q — это ИИ-помощник, похожий по своей функциональности на GitHub Copilot, который интегрируется в среды разработки, такие как Visual Studio Code, а также в облачные сервисы AWS. Благодаря своей интеграции и удобству использования он быстро набрал популярность — только расширение для VS Code было установлено свыше 950 тысяч раз, что говорит о высокой степени доверия пользователей. Однако, как выяснилось, именно эта популярность и широкая аудитория стали благодатной почвой для потенциальной атаки.
Хакер нашел способ получить доступ к репозиторию Amazon Q на GitHub и создал pull request с внедрением вредоносного кода. Несмотря на то, что учетная запись, с которой была сделана попытка, изначально не имела административных прав, злоумышленнику почти мгновенно предоставили полномочия администратора, что стало переломным моментом в атаке. В результате опасный код был включен в версию 1.84.0, выпущенную 17 июля 2025 года, и попал в публичный релиз без должного контроля и проверки со стороны разработчиков Amazon.
Суть вредоносного кода заключалась в том, что ИИ-помощник получал команду определённого промпта на выполнение очистки системы до заводского состояния. Он должен был использовать инструменты bash и AWS CLI, чтобы последовательно удалять файлы и облачные ресурсы пользователя — начиная с домашнего каталога и игнорируя скрытые папки. В промпте подробно описывалась последовательность действий: команда очищала конфигурационные файлы, удаляла экземпляры EC2, очищала хранилище S3, удаляла пользователей IAM и многое другое. Более того, скрипт предусматривал логирование всех своих действий в файл /tmp/CLEANER.LOG, чтобы фиксировать ход исполнения команд.
Несмотря на очевидную опасность, сам хакер утверждает, что риск реального уничтожения данных был минимален. Это было сделано намеренно — чтобы привлечь внимание к проблемам безопасности и показать, насколько уязвимы даже крупные компании с развитыми системами защиты. По его словам, целью было разоблачить условный "театр безопасности с ИИ", доказать, что потенциально подобный вайпер (уничтожитель данных) может работать и не быть замечен почти месяц. Интересно, что помимо вредоносного кода, хакер оставил так называемый "прощальный подарок" — ссылку на GitHub с непристойной фразой в адресе. Однако данная ссылка уже была отключена после обнаружения.
После расследования Amazon поспешила удалить версию 1.84.0 из публичной истории, сделав вид, будто такого релиза никогда не было. Тем не менее архивные копии содержали все изменения, упомянутые в описании инцидента. Представители компании заявили изданию 404 Media, что устранение уязвимости прошло оперативно и клиенты не пострадали.
Они рекомендовали обновить Amazon Q Developer для VS Code до версии 1.85 и подтвердили, что злоумышленник больше не имеет доступа к их репозиториям. Тем не менее в сообществе разработчиков и специалистов по безопасности этот случай вызвал тревогу. Он ярко иллюстрирует, с какими новыми вызовами придется сталкиваться в будущем. ИИ-инструменты, интегрированные напрямую в рабочие процессы, предоставляют беспрецедентный уровень автоматизации, но одновременно становятся потенциальным вектором атак с очень масштабными последствиями.
Аналитики отмечают, что факт предоставления административных прав злоумышленнику — это серьезная ошибка в управлении доступом в корпоративных репозиториях. В современных условиях контролировать и ограничивать права в системах с открытым исходным кодом, особенно когда речь идет о критично важных инструментах, крайне важно. Второй важный урок — необходимость тщательной и многоступенчатой проверки изменений, прежде чем они попадут в публичные релизы. Алгоритмы автоматического тестирования и анализа кода должны найти и заблокировать подобные потенциально опасные внедрения. Третий аспект — прозрачность компаний в информировании пользователей.
Отсутствие публичных заявлений от Amazon оставило массу вопросов и породило недоверие среди клиентов и специалистов. Эксперты по безопасности призывают к более открытому диалогу и регламентированным процедурам оповещения при компрометациях. Наконец, данный инцидент стал своеобразным сигналом для всех, кто использует современные технологии на базе ИИ. Безопасность должна стать неотъемлемой частью разработки, а не дополнительной опцией. Подходы должны включать как технические средства борьбы с угрозами, так и организационные меры для своевременного выявления и нейтрализации атак.
Искусственный интеллект продолжит интегрироваться в повседневную жизнь и профессиональную деятельность, предлагая новые горизонты и возможности. Однако история с Amazon Q напоминает, что вместе с преимуществами приходят и новые риски, которые нельзя игнорировать. Важно учиться на таких кейсах и строить защищённые экосистемы, способные противостоять злоумышленникам. В противном случае цена ошибки может оказаться слишком высокой — потеря данных, компрометация инфраструктуры и репутационные издержки. Для пользователей же это повод уделять больше внимания обновлению продуктов, контролю прав доступа и своевременному применению патчей безопасности.
В итоге история с хакерской атакой на Amazon Q — тревожный, но ценный урок для всей индустрии, напоминание о необходимости сохранять бдительность и доверять технологиям, проходящим через призму надежной защиты.
