Wenn Offiselle met à jour Zerstörerischen Schadcode Enthalten, Wirft Das Kein Gutes Licht Auf den Anbieter.
Einem Hacker ist es gelungen, zerstörerische systembefehle in Die Visual-studio-code-extension einzuschleusen, die für zugriff auf amazons ki-gestützten programmierassistance q Verwendett wird. Der Angreifer Konnte Das Entwickler-Tool (MIT Mehr ALS 950.000 Installationen) über Ein Nicht-Verifiziertes Github-Konto Verseuchen: Er Reichte Ende Juni 2025 Einen Pull-Request Ein und Erlangte Daraufhin Nach Eigener Aussage Administra (GALLE PAYAGE).
Deryschleuste Code Wies das Amazon-Tool Demnach et, Sich Wie Ein System Cleaner Mit Zugriff Auf dateisystem und Cloud Tools Zu Verhalten, Um Nutzerdaten und Cloud-Rressourcen Zu Löschen. DAS Update Wurde von Amazon über den Offiellen weg an die nutzer verteilt – Zunächst Ohne Zu Bemerken, Dass Dieses Manipuliert Worden War. Der Hacker Hinter Dem angriff Erklärte Gegenüber 404 Media, Dass Er Noch Weitaus Schädlichere Talons utiles Hätte Einschleusen Können. ER HABE SICH JÉDOCH STATTDESSEN FURR DIESE „Milde Variante“ Entschieden, Um Ein Zeichen des Protests Gegen Amazones «Ai-Sécurité-théâtre» Zu Setzen.
«Nix Passiert, Weitermachen»?
«Wir Haben Einen Versuch, Eine Bekannte Schwachstelle dans Zwei Open-Source-Repositories Auszunutzen, Um Den Code dans Der Amazon-Q-Developer-Extension Für vs Code Zu Manipulieren, Schnell Abgewehrt Under Könenen Sinden Sinden, Dass Keine Kundendorpen Betroffen« Erklärte Ein Sprecher von Aws. Die Probleme in Beiden Betroffennen CodeBasen Seien Vollständig BefoBen – Keine Weiteren Maßnahmen Seitens Der Kunden Erforderlich.
Nichtsdestotrotz Unterstreicht der vorfall die wachsenden bedenken hinsichtlich der Sicherheit von générative-ai-tools und ihrer intégration à Entwicklungsumbungen, wie cybersecurity-experte suil varke Ki-Tools Zunehmend Durch Böswillige Akteure Ausgeutzt Werden Können, Weil Robuste Schutzvorkehrungen, Durchgängiges Surveillant Und WirksAm Governance-Leitpllank Fehlen ». Wenn Ki-Systeme Wie Code-Assistenten KOMPROMITTTIERERt Würden, So Varkey, Schaffe Das dans Zweifacher Hinsicht Risiken: Angreifer Könnten Bösartigen Einführten.
«Der Vorfall Zeigt auch, wie sich die Risiken in Der lieferkette bei der ki-entwicklung verschärfen, wenn unternehmen sich ohne srenger überprüfungen auf open-source-beiträge Verlassen», Ergänzt SAKSHI GORORVER, SEINTHERCHEGHERAGE BEI BEI ASIA Pacific Cybersecurity Service. Umso wichtiger sei es für die teams in Unternehmen, ki-spezifische bedrohungsmodelle in ihre devsecops-praktiken zu Integrieren, meint grover – nur so ließe sich risiken wie modèle dérive, injection rapide und semantischen manipulation begegnnen. SIE EMPFIEHLT: «UNternehmen Sollten Unveränderliche Release-Pipelines MIT Hash-Basierter Verifizierung Einführen und Mécanisme dans CI / CD-Workflows Integrieren, Um Anomalien und Manipulationn Frühzeitig Zu Erkennen.»
Schließlich Demanderert der Incident Auch, Dass Selbst die Devsecops-reife der Großen Cloud-Anbieter dans Sachen Ki-Entwicklungswerkzeuge Ausbaufähig ist. (FM)
SIE WOLLEN WEITERE INTERRESSANTE Beiträge Rund Um Das Thea It-Sicherheit lesen? Newsletter Unser Kostenloser Liefert Ihnen alles, était Sicherheisentscheider und-experten wissen sollten, direkt dans la boîte de réception.
