Trợ lý viết mã AI của Amazon đã khiến gần 1 triệu người dùng gặp rủi ro mất sạch hệ thống
Lỗ hổng của trợ lý viết mã AI Amazon Q đã khiến gần 1 triệu người dùng gặp nguy cơ hệ thống bị xóa sạch.
Vụ xâm nhập vào trợ lý viết mã AI Amazon Q là một trong những sự cố nghiêm trọng nhất gần đây, làm lộ gần một triệu người dùng đến nguy cơ hệ thống bị thiết lập lại hoàn toàn và mất dữ liệu. Hacker đã âm thầm cài mã độc vào kho mã nguồn mở của Amazon qua một pull request thông thường, sau đó mã này được tích hợp vào phiên bản 1.84.0 của phần mở rộng Visual Studio Code. Bản cập nhật bị lỗ hổng này phát hành công khai vào ngày 17 tháng 7 năm 2025, nhưng phải mất một thời gian dài để Amazon phát hiện và khắc phục sự cố.
Quá trình xâm nhập này đạt được qua cách tích hợp vụng về mã nguồn mở, điều này đã được Corey Quinn, chuyên gia phân tích của The Duckbill Group, chỉ ra như một ví dụ điển hình cho việc "hành động nhanh chóng nhưng tin tưởng mù quáng vào người lạ". Hacker cũng tuyên bố rằng hành động của anh ta nhằm tiết lộ các vấn đề bảo mật yếu kém của Amazon, mô tả các biện pháp an ninh mà tập đoàn này đang sử dụng như một "màn kịch an ninh".
Các chuyên gia bảo mật như Steven Vaughan-Nichols từ ZDNet nhận xét rằng sự cố này không phải do mã nguồn mở gây ra mà phần nhiều đến từ cách Amazon quản lý quá trình phát triển này. Việc làm cho mã nguồn mở không đảm bảo an toàn nếu không có quy trình kiểm soát truy cập, xem xét mã và xác minh kỹ lưỡng.
Amazon đã tiến hành các biện pháp đối phó đáng khen ngợi sau khi phát hiện vụ việc. Công ty đã thu hồi các thông tin đăng nhập bị xâm phạm, xóa bỏ mã không được phép và phát hành bản sửa lỗi phiên bản 1.85.0. Công ty nhấn mạnh rằng bảo mật luôn là ưu tiên hàng đầu và không có tài nguyên nào của khách hàng bị ảnh hưởng. Tuy nhiên, sự cố này là một lời nhắc nhở nghiêm trọng về rủi ro từ việc tích hợp AI không cẩn thận trong các quy trình phát triển phần mềm.
Nguồn: TechSpot, 404 Media, ZDNet