黑客在亚马逊的ai 编码代理中注入了破坏性系统指令 -皇冠最新app版本

研究人员最新发现恶意拉取请求通过了亚马逊的审核流程，进入了适用于visual studio code的amazon q扩展的 1.84.0 版，向流行的ai助手提供了擦除用户本地文件和aws资源的指令。攻击者只需从非特权github帐户提交拉取请求即可获得访问权限，就获得了管理员级凭据。目前亚马逊从visual studio marketplace中删除了1.84.0版本，并推送了修补的1.85.0版本，有效地从扩展的历史记录中删除了受损版本。