يسمح ثغرة أمنية في Amazon Q Developer للمستودعات الخبيثة بتنفيذ التعليمات البرمجية من خلال إعدادات MCP. وهذا يعرض مستخدمي الأداة لهجمات محتملة إذا قاموا بدمج مصادر غير موثوقة. بالنسبة للمواطنين، التوصية واضحة: مراجعة مصدر كل مستودع والحفاظ على تحديث البرامج لتقليل المخاطر.
تفاصيل تقنية لثغرة MCP في مساعدي الذكاء الاصطناعي 🔧
تقع الثغرة في معالجة بروتوكول تكوين النماذج (MCP) داخل Amazon Q Developer. يمكن لمستودع خبيث تغيير هذه الإعدادات لحقن أوامر عشوائية أثناء تنفيذ مهام التطوير. لا يتطلب هذا صلاحيات مرتفعة للنظام، فقط أن يقوم المستخدم باستيراد مشروع من مصدر مشبوه. يستغل الهجوم الثقة الضمنية التي تضعها الأداة في ملفات تكوين المستودع، دون التحقق بشكل مناسب من محتواها.
المستودع الموثوق الذي تبين أنه ذئب في جلد كود 🐺
اتضح أن مساعد الذكاء الاصطناعي الذي تستخدمه لكتابة الكود بشكل أسرع يمكن أن يتحول إلى ساعي البريد الذي يسلم لك فيروسًا بابتسامة لطيفة. إنه مثل دعوة شخص غريب لتناول العشاء واكتشاف أنه نهب الثلاجة بينما كنت تحضر له القهوة. الآن حان الوقت لفحص كل مستودع كما لو كان مشتبهًا به في مسلسل بوليسي. لحسن الحظ، لدينا دائمًا وقت لقراءة الحروف الصغيرة، أليس كذلك؟