ผู้ช่วยเขียนโค้ดที่ขับเคลื่อนด้วย AI ของ Amazon ประสบกับการละเมิดความปลอดภัยร้ายแรงเมื่อแฮกเกอร์สามารถแทรกโค้ดที่เป็นอันตรายผ่าน pull request ที่ผ่านเข้าสู่ระบบการผลิตได้สำเร็จ เวอร์ชันที่ถูกบุกรุกมีคำสั่งทำลายที่ออกแบบมาเพื่อลบไดเร็กทอรีในเครื่องและทรัพยากรบนคลาวด์ ทำให้เกิดคำถามสำคัญเกี่ยวกับกระบวนการตรวจสอบโค้ดสำหรับเครื่องมือพัฒนา AI
ข้อมูลเกี่ยวกับ Repository:
- Main Repo: aws/aws-toolkit-vscode บน GitHub
- Malicious Branch: "stability" (ถูกลบไปแล้ว)
- Compromised File: scripts/extensionNode.bk
- Installation Base: การติดตั้ง VS Code extension เกือบ 1 ล้านครั้ง
การโจมตีเกิดขึ้นอย่างไร
การวิเคราะห์จากชุมชนได้เปิดเผยรายละเอียดทางเทคนิคของการโจมตีที่ซับซ้อนนี้ แฮกเกอร์ส่ง pull request ที่ดูไม่น่าสงสัยพร้อมข้อความ commit ที่ไม่เกี่ยวข้องกับการเปลี่ยนแปลงโค้ดจริง การ commit ที่เป็นอันตรายนี้ดาวน์โหลดโค้ดเพิ่มเติมขณะรันไทม์จาก stability branch ที่ผู้โจมตีสร้างขึ้นภายใน repository เดียวกัน
โค้ดที่ดาวน์โหลดมามีคำสั่งที่สั่งให้ Amazon Q รันคำสั่ง shell ที่จะลบไดเร็กทอรีในเครื่อง รวมถึงไดเร็กทอรี home ของผู้ใช้ ขณะเดียวกันใช้คำสั่ง AWS CLI เพื่อทำลายทรัพยากรบนคลาวด์เช่น S3 buckets, EC2 instances และ IAM roles การโจมตีนี้ถูกออกแบบให้บันทึกการลบทั้งหมดลงในไฟล์ชื่อ /tmp/CLEANER.LOG เพื่อสร้างบันทึกดิจิทัลของการทำลาย
สิ่งที่น่ากังวลเป็นพิเศษคือผู้โจมตีดูเหมือนจะได้รับสิทธิ์ push โดยตรงไปยัง repository ของ Amazon โดยข้ามกระบวนการตรวจสอบ pull request ปกติทั้งหมด สิ่งนี้บ่งชี้ว่าการบุกรุกลึกกว่าการรวม malicious PR เข้าไปเท่านั้น
รายละเอียดทางเทคนิค:
- เป้าหมาย: ส่วนขยาย Amazon Q Developer VS Code
- เวกเตอร์การโจมตี: คำขอดึงข้อมูลที่เป็นอันตรายพร้อมการดาวน์โหลดโค้ดขณะรันไทม์
- เพย์โหลด: พรอมต์ภาษาธรรมชาติสำหรับการทำลายระบบ
- ความเสียหายในเครื่อง: ลบไดเรกทอรีผู้ใช้ ข้ามไฟล์ที่ซ่อนอยู่
- ความเสียหายบนคลาวด์: คำสั่ง AWS CLI เพื่อลบ S3 buckets ยุติอินสแตนซ์ EC2 ลบทรัพยากร IAM
- การบันทึกข้อมูล: กิจกรรมต่างๆ ถูกบันทึกไว้ที่
/tmp/CLEANER.LOG
ปัจจัยการขยายผลของ AI
การใช้ AI เป็นช่องทางการโจมตีเพิ่มมิติที่น่าวิตกให้กับเหตุการณ์นี้ แทนที่จะเขียนคำสั่งทำลายเฉพาะเจาะจงที่อาจทำให้เกิดการแจ้งเตือนความปลอดภัย ผู้โจมตีใช้คำสั่งภาษาธรรมชาติเพื่อสั่งให้ AI ทำการกระทำเดียวกัน วิธีการนี้ทำหน้าที่เป็นตัวคูณพลัง ช่วยให้คำสั่งทั่วไปถูกแปลเป็นคำสั่งเฉพาะเจาะจงของระบบที่มีรายละเอียด
คุณไม่จำเป็นต้องเขียนคำสั่งเฉพาะเจาะจง คุณแค่ต้องใส่คำสั่งทั่วไป แล้วมันจะช่วยเติมรายละเอียดทั้งหมดให้ สิ่งนี้ยังช่วยให้คุณหลีกเลี่ยงการมีคำสำคัญบางคำใน PR (เช่น
rm -rf) และอาจหลบเลี่ยงการตรวจจับได้
เทคนิคนี้อาจกลายเป็นเรื่องธรรมดามากขึ้นเมื่อเครื่องมือเขียนโค้ด AI ได้รับความสามารถและสิทธิ์มากขึ้นในสภาพแวดล้อมการพัฒนา
การตอบสนองของ Amazon และปัญหาความโปร่งใส
การจัดการเหตุการณ์ของ Amazon ได้รับการวิพากษ์วิจารณ์เนื่องจากขาดความโปร่งใส บริษัทได้ลบเวอร์ชัน 1.84.0 ของส่วนขยาย Amazon Q Developer ออกจาก Visual Studio Code Marketplace อย่างเงียบๆ โดยไม่ออกคำแนะนำด้านความปลอดภัย หมายเหตุการเปลี่ยนแปลง หรือตัวระบุ CVE
คำแถลงอย่างเป็นทางการของบริษัทอ้างว่าไม่มีทรัพยากรของลูกค้าได้รับผลกระทบ แต่การยืนยันนี้ยากที่จะตรวจสอบได้ เนื่องจากโค้ดที่เป็นอันตรายถูกออกแบบให้ทำงานอย่างเงียบๆ และบันทึกกิจกรรมในเครื่องแทนที่จะรายงานกลับไปยังระบบของ Amazon จึงไม่มีวิธีที่เชื่อถือได้ในการยืนยันว่ามีผู้ใช้คนใดรันเวอร์ชันที่ถูกบุกรุกในช่วงประมาณสองวันที่มันพร้อมใช้งานหรือไม่
เหตุการณ์นี้เพิ่งเปิดเผยผ่านการรายงานเชิงสืบสวนโดย 404 Media ไม่ใช่ผ่านกระบวนการเปิดเผยของ Amazon เอง วิธีการจัดการเหตุการณ์ด้านความปลอดภัยโดยการลบหลักฐานแทนที่จะสื่อสารอย่างโปร่งใสนี้ทำให้เกิดความกังวลเกี่ยวกับวิธีการจัดการปัญหาที่คล้ายกันในอนาคต
ไทม์ไลน์การโจมตี:
- 13 กรกฎาคม 2025: มีการ push โค้ดที่มีมัลแวร์เข้าสู่ master branch โดยตรง
- ~2 วัน: เวอร์ชันที่ถูกบุกรุกพร้อมใช้งานบน VS Code Marketplace
- เวอร์ชัน 1.84.0: รีลีสที่ได้รับผลกระทบถูกลบออกจาก marketplace อย่างเงียบๆ
- ไม่มีการออก CVE และไม่มีการเผยแพร่คำแนะนำด้านความปลอดภัย
ผลกระทบที่กว้างขึ้นสำหรับเครื่องมือพัฒนา AI
เหตุการณ์นี้เน้นย้ำถึงความท้าทายด้านความปลอดภัยที่เป็นเอกลักษณ์ของเครื่องมือพัฒนาที่ขับเคลื่อนด้วย AI แอปพลิเคชันเหล่านี้มักต้องการสิทธิ์ที่กว้างขวางเพื่อทำงานได้อย่างมีประสิทธิภาพ รวมถึงความสามารถในการรันคำสั่ง shell และโต้ตอบกับบริการคลาวด์ เมื่อถูกบุกรุก พวกมันสามารถสร้างความเสียหายได้มากกว่าเครื่องมือพัฒนาแบบดั้งเดิมอย่างมีนัยสำคัญ
การโจมตีนี้ยังแสดงให้เห็นว่าเครื่องมือ AI กำลังกลายเป็นเป้าหมายที่น่าสนใจสำหรับแฮกเกอร์เนื่องจากความสามารถที่กว้างขวางและความไว้วางใจที่นักพัฒนามีต่อพวกมัน เมื่อเครื่องมือเหล่านี้แพร่หลายมากขึ้นในเวิร์กโฟลว์การพัฒนาซอฟต์แวร์ มาตรฐานความปลอดภัยและกระบวนการตรวจสอบที่เกี่ยวข้องจะต้องพัฒนาตามไปด้วย
การตอบสนองของชุมชนมีความหลากหลาย บางคนเรียกร้องให้ Amazon มีความโปร่งใสมากขึ้น ในขณะที่คนอื่นๆ ตั้งคำถามว่าเหตุการณ์นี้แสดงถึงข้อบกพร่องพื้นฐานในความปลอดภัยของเครื่องมือ AI หรือเป็นเพียงความล้มเหลวของแนวทางปฏิบัติการจัดการ repository พื้นฐานที่อาจส่งผลต่อเครื่องมือพัฒนาใดๆ ที่มีสิทธิ์คล้ายกัน
อ้างอิง: Amazon Q: Now with Helpful AI-Powered Self-Destruct Capabilities
 |
|---|
| ภาพที่น่าประทับใจของลูกคริกเก็ตที่แตกกระจายเป็นสัญลักษณ์ของผลกระทบจากช่องโหว่ด้านความปลอดภัยในเครื่องมือพัฒนาที่ขับเคลื่อนด้วย AI |