अमेज़न Q डेवलपर में एक सुरक्षा दोष दुर्भावनापूर्ण रिपॉजिटरी को MCP कॉन्फ़िगरेशन के माध्यम से कोड निष्पादित करने की अनुमति देता है। यह टूल के उपयोगकर्ताओं को संभावित हमलों के लिए उजागर करता है यदि वे अप्रमाणित स्रोतों को एकीकृत करते हैं। नागरिकों के लिए सिफारिश स्पष्ट है: प्रत्येक रिपॉजिटरी के स्रोत की जाँच करें और जोखिम कम करने के लिए सॉफ़्टवेयर को अपडेट रखें।
AI सहायकों में MCP दोष के तकनीकी विवरण 🔧
कमजोरी अमेज़न Q डेवलपर के भीतर मॉडल कॉन्फ़िगरेशन प्रोटोकॉल (MCP) के प्रबंधन में निहित है। एक दुर्भावनापूर्ण रिपॉजिटरी विकास कार्यों के निष्पादन के दौरान मनमाने आदेशों को इंजेक्ट करने के लिए इन कॉन्फ़िगरेशन को बदल सकती है। इसके लिए सिस्टम के उच्च अनुमतियों की आवश्यकता नहीं है, केवल उपयोगकर्ता को एक संदिग्ध स्रोत से प्रोजेक्ट आयात करने की आवश्यकता है। हमला उस अंतर्निहित विश्वास का शोषण करता है जो टूल रिपॉजिटरी की कॉन्फ़िगरेशन फ़ाइलों में रखता है, बिना उनकी सामग्री को उचित रूप से मान्य किए।
विश्वसनीय रिपॉजिटरी जो कोड के वेश में भेड़िया निकली 🐺
तो पता चला कि AI सहायक जिसका उपयोग आप तेज़ी से कोड लिखने के लिए करते हैं, वह डाकिया बन सकता है जो आपको एक मुस्कान के साथ वायरस देता है। यह एक अजनबी को रात के खाने पर आमंत्रित करने और यह पता लगाने जैसा है कि जब आप उसके लिए कॉफी बना रहे थे, तो उसने आपका फ्रिज लूट लिया। अब हर रिपॉजिटरी की जाँच करने का समय आ गया है जैसे कि वह किसी पुलिस श्रृंखला का संदिग्ध हो। अच्छी बात है कि हमारे पास हमेशा छोटे प्रिंट को पढ़ने का समय है, है ना?