AIコーディングアシスタント「Amazon Q」に、悪意のあるGitリポジトリから任意のコードを実行され、クラウドの認証情報を盗まれる欠陥が発見されました。プロジェクト設定ファイルが攻撃ベクトルとなるリスクに研究者が警鐘を鳴らしています。
Amazon Qの脆弱性:悪意あるコード実行と認証情報窃取の危険性
Amazon Q flaw let booby-trapped Git repos execute code, swipe cloud creds
編集メモ: AIコーディング支援ツール「Amazon Q」で認証情報が盗まれる脆弱性が判明したことは、開発現場で自動化ツールを導入する際、設定ファイル等の外部リソースを介した攻撃リスクへの警戒が必要であることを示しています。