L’extension peut être trompée par des symboles invisibles des caractères Unicode Tag invisibles par les humains mais obéi par l’IA.
L’extension Amazon Q Developer vs Code serait vulnérable aux attaques d’injection rapides furtives en utilisant des caractères de balise Unicode invisibles.
Selon l’auteur du blog «Embrace the Red», l’extension axée sur le développeur pour Visual Studio Code alimenté par Amazon Q peut être utilisée par les attaquants pour exécuter des instructions malveillantes (via les caractères invisibles) intégrés dans un texte autrement inoffensif.
« Le développeur Amazon Q ne parvient pas à désinfecter les caractères invisibles de la balise Unicode », a déclaré l’auteur dans un blog. « Ces personnages peuvent être intégrés dans un texte apparemment inoffensif, déclenchant un comportement caché lorsqu’il est traité. »
Les caractères de balise Unicode invisibles, normalement utilisés pour le taggage de texte obscur, sont des symboles spéciaux qui n’apparaissent pas à l’écran mais qui sont toujours traités par les ordinateurs, ce qui en fait une façon sournoise de masquer les instructions à la vue.
Ai comprend les minuscules étiquettes invisibles
Les caractères de balise Unicode invisibles, invisibles par les développeurs, sont compris par l’IA, permettant aux attaquants de faire passer des instructions cachées dans des invites.
Dans une preuve de concept (POC) démontré dans le blog, les attaquants ont intégré ces balises dans un fichier qui est apparu dans VS Code, mais a déclenché Amazon Q pour suivre les directives cachées – y compris le déclenchement de l’exécution de code arbitraire via des exploits décrits précédemment.
La combinaison des exploits invisibles d’injection et d’héritage comme «Find -exec» constitue un puissant vecteur de menace. La vulnérabilité a été divulguée à AWS le 5 juillet après que l’auteur n’a identifié aucun chemin officiel de la prime de bogue et a soumis le rapport à un e-mail Github.
Après quelques retards de communication, car les produits d’IA d’Amazon n’étaient initialement pas dans la portée, le problème a finalement été accepté dans le programme de divulgation de vulnérabilité Hackerone, selon le blog.
Le créateur de modèles ne réparera pas la faille
Le problème est apparemment hérité de Claude d’Anthropic, qui alimente Amazon Q, et Anthropic Will, ne le réparera pas. « Les modèles anthropiques sont connus pour interpréter les caractères de balise Unicode invisibles comme des instructions », a déclaré l’auteur. « Ce n’est pas quelque chose que Anthropic a l’intention de réparer, à ma connaissance, voir ce post concernant leur réponse. »
L’auteur, utilisant l’alias «Wunderwuzzi» pour le blog, a noté que les développeurs construisant au sommet de Claude, Amazon Q inclus, doivent bloquer ces attaques par eux-mêmes. La plupart des modèles analysent toujours l’injection rapide invisible, sauf OpenAI, qui a résolu le problème directement sur la couche modèle / API.
Le 8 août 2025, AWS a signalé que la vulnérabilité a été résolu, a déclaré l’auteur dans le blog. Cependant, «aucun avis public ou CVE ne sera émis», les utilisateurs doivent donc s’assurer qu’ils exécutent la dernière version d’Amazon Q Developer for Safety.
Amazon Q Developer vs Code Extension, téléchargé plus d’un million de fois, attire une attention contradictoire importante. Le mois dernier, un attaquant a inséré du code destructeur dans l’outil, qui a ensuite été propagé par une mise à jour officielle.
