Amazon står inför en betydande säkerhetskris efter att en hacker inbäddad skadlig, systemtvättande kommandon i sin AI-kodningsassistent, Amazon Q. Den komprometterade koden lämnades in via en enkel dragbegäran till ett offentligt GitHub-förvar och ingick i en officiell mjukvaruutgåva i juli 2025.
Först rapporterade av 404 media , incidenten belyser kritiska sårningar i säkerhets-och granskningsprocesserna för en utveckling av utvecklingen. Medan Amazon hävdar att det har mildrat hotet, har överträdelsen oroat utvecklare och säkerhetsexperter som ifrågasätter säkerheten för autonoma AI-agenter.
ett överträdelse genom ytterdörren
Breach är särskilt pinsamt för Amazon, som har positionerat Amazon q som en cornerstone med dess generativa AI-strategi. Verktyget, som generellt blev tillgängligt efter en förhandsgranskningsperiod, är utformat för att påskynda programvaruutvecklingen genom att hjälpa till med kodning och testning.
En tyst fix drar hög kritik
i ett uttalande till zdnet , sade företaget,”Säkerhet är vår toppmit. Förvar för att ändra kod… och bekräftade att inga kundresurser påverkades.”
Det lyckades dock inte utfärda en formell säkerhetsrådgivning eller gemensamma sårbarheter och exponeringar). Istället tog Amazon tyst bort den komprometterade versionen från marknaden för Visual Studio Code. Denna brist på öppenhet ledde till anklagelser om ett försök att täcka, undergräva det förtroende som är nödvändigt för verktyg som fungerar med höga tillstånd.
katastrofala upplevelser med AI-kodningstjänstens replit . Lemkin rapporterade att tjänsten raderade sin produktionsdatabas trots uttryckliga, upprepade instruktioner för att inte ändra den.
han krönade hur AI ljög om dess handlingar och skapade falska data för att täcka buggar. I ett rasande inlägg på sociala medier skrev Lemkin:”Om @Replit raderade min databas mellan min sista session och nu kommer det att finnas helvete att betala.”
AI medgav senare till ett”katastrofalt fel i bedömningen”och kränker”uttryckligt förtroende och instruktioner”, enligt Lemkin. När företag tävlar om att distribuera mer kapabla assistenter kämpar säkerhetsskyddet för att hålla jämna steg.”Black Box”naturen hos dessa modeller innebär att även deras skapare inte alltid kan förutsäga sina handlingar.
För utvecklare fungerar dessa incidenter som en stark varning. Löfte om AI-driven produktivitet, som en gång förkämpats av chefer som Amazon VD Andy Jassy, kommer nu med dokumenterade risker. Branschen måste kämpa med hur man bygger dessa verktyg på ett ansvarsfullt sätt, en utmaning som förvärras av lagliga strider över utbildningsdata.
