Amazon Q Developer与Kiro的提示注入漏洞解析

本文详细分析了Amazon Q Developer和Kiro中存在的多个提示注入安全漏洞,包括远程代码执行、敏感信息泄露等问题,并提供了相应的修复方案和版本升级建议。

Amazon Q Developer和Kiro - Kiro和Q IDE插件中的提示注入问题

发布日期: 2025年10月7日

公告ID: AWS-2025-019

范围: AWS

内容类型: 重要(需要关注)

描述:

我们已知晓Embrace The Red(“AI漏洞月”)发布的博客文章,其中描述了Amazon Q Developer和Kiro中的提示注入问题。

“Amazon Q Developer:通过提示注入实现远程代码执行"和"Amazon Q Developer for VS Code易受隐形提示注入攻击”

这些问题需要开放的聊天会话并有意访问恶意文件,使用诸如find、grep或echo等命令,这些命令可以在无需人工确认(HITL)的情况下执行。在某些情况下,不可见的控制字符可能会混淆这些命令。2025年7月17日,我们发布了语言服务器v1.22.0,该版本要求对这些命令进行HITL确认。

“Amazon Q Developer:通过DNS和提示注入泄露敏感信息”

此问题需要开发人员接受包含ping或dig等命令的提示注入建议,这些命令可能通过DNS查询泄露元数据而无需HITL确认。2025年7月29日,我们发布了语言服务器v1.24.0,该版本要求对这些命令进行HITL确认。

“AWS Kiro:通过间接提示注入实现任意代码执行”

此问题需要本地系统访问权限,通过Kiro IDE或MCP设置文件注入指令,导致在Kiro的Autopilot或监督模式下无需HITL确认即可执行任意代码。2025年8月1日,我们发布了Kiro版本0.1.42,该版本在监督模式下要求对这些操作进行HITL确认。

Amazon Q Developer和Kiro基于代理开发原则构建,使开发人员能够在AI代理的帮助下更高效地工作。随着客户采用AI增强的开发工作流程,我们建议他们根据特定环境和共享责任模型评估并实施适当的安全控制策略。Amazon Q Developer和Kiro提供了保障措施,包括人工确认保护和可定制的执行策略,以支持安全采用。

受影响版本:

  • Amazon Q Developer for find、grep、echo(版本<1.22.0)
  • Amazon Q Developer for ping、dig(版本<1.24.0)
  • AWS Kiro:版本<0.1.42

解决方案:

通过重新启动插件、升级到最新的Amazon Q Developer IDE插件或最新的Kiro IDE应用程序,升级到语言服务器v1.24.0或更高版本。升级后,这些命令需要HITL确认(对于Kiro,在监督模式下)。

致谢:

我们要感谢Embrace the Red、HiddenLayer和MaccariTA通过协调漏洞披露流程在这些问题上的合作。

如有任何安全问题或疑虑,请发送电子邮件至aws-security@amazon.com。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次