Kiedy programista klonuje repozytorium z kodem, rzadko spodziewa się, że w tym samym momencie ktoś może przejąć jego dane dostępowe do chmury. Taka sytuacja stała się realna za sprawą luki w Amazon Q Developer – narzędziu AI wspomagającym pisanie kodu. Badacze z Wiz Research odkryli, że złośliwy plik konfiguracyjny osadzony w repozytorium potrafi automatycznie uruchomić kontrolowany przez atakującego serwer MCP i wykraść poświadczenia AWS.
Luka, oznaczona jako CVE-2026-12957, została zgłoszona do Amazon 20 kwietnia 2026 roku. Firma wydała łatkę 12 maja, a szczegóły ataku trafiły do publicznej wiadomości 26 czerwca. To kolejny sygnał, że narzędzia AI dla programistów stają się celem ataków łańcucha dostaw – i to w sposób budzący poważne obawy o bezpieczeństwo.
Jak działał atak na Amazon Q Developer
Mechanizm wykorzystanej podatności opiera się na sposobie, w jaki Amazon Q Developer obsługuje serwery MCP (Model Context Protocol). To protokół pozwalający asystentom AI łączyć się z zewnętrznymi narzędziami i źródłami danych. Gdy programista klonował repozytorium zawierające odpowiednio spreparowany plik konfiguracyjny, narzędzie automatycznie rejestrowało i uruchamiało złośliwy serwer MCP – bez pytania o zgodę i bez żadnego dodatkowego kliknięcia.
Pełny dostęp do poświadczeń chmurowych
Tak uruchomiony serwer natychmiast przejmował wszystkie poświadczenia AWS dewelopera – w tym identyfikator konta, ARN użytkownika oraz sesyjne klucze dostępu. Oznacza to, że atakujący uzyskiwał dostęp do każdego zasobu chmurowego, do którego uprawniony był ofiara. Eksperci z Wiz Research zbudowali proof of concept, który demonstrował, jak za pomocą standardowego polecenia AWS Identity można odczytać te dane i wysłać je na zewnętrzny serwer.
Kluczowe jest to, że do przeprowadzenia ataku wystarczyło samo sklonowanie kodu – żadne dodatkowe działanie programisty nie było potrzebne. To sprawia, że podobne luki są szczególnie niebezpieczne w kontekście ataków na łańcuch dostaw oprogramowania, gdzie złośliwe repozytoria mogą być rozsyłane przez zainfekowane pakiety lub fałszywe forki popularnych projektów.
Szerszy problem – podatności w narzędziach AI dla programistów
Odkryta luka w Amazon Q Developer nie jest odosobnionym przypadkiem. W tym samym audycie wykryto drugą podatność, CVE-2026-12958, związaną z brakiem weryfikacji dowiązań symbolicznych podczas zapisu plików w przestrzeni roboczej. Umożliwiała ona atakującemu zapis dowolnych plików w systemie ofiary.
Amazon Q Developer dołącza tym samym do rosnącej listy narzędzi AI, które padły ofiarą podobnych ataków. Wcześniej Anthropic’s Claude Code ujawnił lukę pozwalającą na kradzież poświadczeń poprzez wstrzyknięcie promptu w GitHub Actions. Również Cursor i Codeium’s Windsurf zgłaszały w ostatnich miesiącach podatności związane z protokołem MCP.
Dlaczego MCP jest problematyczne
Źródło problemu leży w samej naturze protokołu MCP. Z założenia daje on asystentom AI możliwość wywoływania zewnętrznych narzędzi z takimi samymi uprawnieniami, jakie posiada aplikacja hostująca. Gdy repozytorium może w milczeniu zarejestrować serwer MCP, który przejmuje poświadczenia chmurowe dewelopera, powierzchnia ataku rozszerza się z samego kodu na każdą usługę, do której dostęp ma programista.
Projektanci protokołu zakładali, że inicjalizacja serwerów będzie następować po uzyskaniu jawnej zgody użytkownika – i to właśnie Amazon dodał w swojej łatce. W przypadku Amazon Q Developer zabrakło jednak tej podstawowej bariery, co pokazuje, jak łatwo o przeoczenie nawet w zaawansowanych narzędziach.
Jak się chronić i co zrobił Amazon
Amazon załatał obie luki w zaktualizowanych wersjach Language Servers for AWS oraz odpowiadających im wtyczkach IDE dla VS Code, JetBrains, Eclipse i Visual Studio. Główna zmiana polega na wymaganiu wyraźnej zgody użytkownika przed uruchomieniem każdego serwera MCP. Dodatkowo ograniczono zmienne środowiskowe, do których serwery MCP mają dostęp.
Zalecenia dla programistów
Eksperci nie stwierdzili, by luka została wykorzystana w rzeczywistych atakach – baza CISA nie odnotowuje żadnych znanych przypadków. Mimo to użytkownicy Amazon Q Developer powinni niezwłocznie zaktualizować wtyczki IDE do najnowszych wersji. Drugim zaleceniem jest audyt ostatnio sklonowanych repozytoriów pod kątem nieoczekiwanych plików konfiguracyjnych, które mogłyby zawierać złośliwe definicje serwerów MCP.
Szerzej rzecz ujmując, ta luka przypomina, że w dobie narzędzi AI automatyzujących pracę programisty, każdy plik konfiguracyjny mogący wywołać kod w momencie klonowania staje się potencjalną bronią. Narzędzia, które automatycznie go uruchamiają, biorą na siebie odpowiedzialność za bezpieczeństwo całego łańcucha dostaw oprogramowania.
Odkrycie Wiz Research to kolejny dzwonek alarmowy dla twórców asystentów AI. Z jednej strony automatyzacja przyspiesza pracę, z drugiej – otwiera drzwi, które powinny pozostać zamknięte. Odpowiedzią nie jest rezygnacja z tych narzędzi, ale projektowanie ich w sposób, który nie ufa domyślnie danym z zewnątrz.
OpenAI udostępnia GPT-5.6: trzy modele, nowa jakość bezpieczeństwa
OpenAI ogranicza premierę GPT-5.6 na prośbę rządu USA
Kradzież AWS przez sklonowane repozytorium – luka w Amazon Q Developer
Akrites: 20 gigantów technologicznych łączy siły przeciw atakom AI na open source
Rząd USA przywraca ograniczony dostęp do modelu Mythos 5
ChatGPT Scheduled Tasks – asystent AI, który działa bez twojego impulsu
Czy chatboty AI są politycznie stronnicze? Wyniki śledztwa
Google wbudowuje sterowanie komputerem w Gemini 3.5 Flash
Claude wygrywa z ChatGPT na własnym podwórku? Nowe dane zaskakują
Cursor trenuje własny model AI o 1,5 biliona parametrów
GPT Bidi 1 – model głosowy ChatGPT słucha i mówi naraz
