Amazon Q compromesso da un hacker: il codice malevolo svela gravi falle nei flussi AI
Amazon Q violato da un hacker: iniettato codice pericoloso in una release ufficiale. Nessun danno, ma la lezione è arrivata forte e chiara.
Amazon si trova al centro di una bufera dopo che un hacker ha compromesso Amazon Q, l’assistente generativo per la programmazione basato su intelligenza artificiale, largamente diffuso tramite l’estensione per Visual Studio Code. L’attacco ha portato all’inclusione di codice malevolo in una versione pubblica del tool, distribuita a quasi un milione di sviluppatori. Se attivato, il codice avrebbe potuto cancellare file locali e risorse cloud associate ad account AWS. Il fatto che tutto sia avvenuto tramite una semplice pull request accettata senza adeguata revisione solleva interrogativi gravi sulla sicurezza dei flussi open source e sull’integrazione troppo disinvolta degli agenti AI nello sviluppo software.
Una “dimostrazione etica”
L’autore dell’attacco non ha cercato di causare danni reali, ma ha progettato un exploit che, pur non eseguendosi, dimostrava in modo eclatante la fragilità dell’intero sistema di revisione del codice di Amazon. Il codice malevolo è entrato nella versione 1.84.0 di Amazon Q, distribuita pubblicamente il 17 luglio. In particolare, l’agente AI era stato manipolato per interpretare un prompt che ordinava la “pulizia” del sistema, fino al ripristino quasi totale e alla rimozione di dati cloud. Secondo le indagini, un errore tecnico ha impedito l’attivazione del codice, ma il messaggio dell’hacker è stato chiaro: le barriere di sicurezza messe in piedi da Amazon sono, a suo dire, “puro teatro”.
La risposta dell’azienda non è stata immediata: inizialmente Amazon ha rimosso la versione compromessa senza fornire spiegazioni pubbliche, un atteggiamento che ha attirato critiche dalla community di sviluppatori e da esperti di cybersecurity. Il CEO di Duckbill Group, Corey Quinn, ha ironizzato su Bluesky: “Questo non è ‘move fast and break things’, è ‘muoviti in fretta e lascia che degli sconosciuti scrivano la tua roadmap’.” Solo successivamente l’azienda ha revocato le credenziali compromesse, rilasciato la versione 1.85.0 e assicurato che nessun utente è stato colpito.
L’open source non basta
Questo episodio ha riacceso il dibattito sulla vulnerabilità delle piattaforme AI integrate nello sviluppo e sulla fiducia, spesso mal riposta, nei modelli open source mal gestiti. Come ha scritto Steven Vaughan-Nichols su ZDNet, il problema non è l’apertura del codice in sé, ma la mancanza di controlli reali su accessi, revisioni e autorizzazioni. La superficialità con cui una pull request è finita in una release ufficiale evidenzia come, senza processi robusti, anche gli strumenti più promettenti possano trasformarsi in veicoli di rischio. Per ora, gli utenti sono al sicuro, ma la lezione è chiara: l’integrazione dell’AI nello sviluppo richiede ben più di entusiasmo e automazione. Serve responsabilità.
