公告 ID：AWS-2025-019
范围： AWS
内容类型： 重要提示（需要注意）
发布日期：2025 年 10 月 7 日下午 1:30（太平洋夏令时）

描述：

我们注意到 Embrace The Red 在《The Month of AI Bugs》博客文章中描述了 Amazon Q 开发者版和 Kiro 存在的提示注入问题。

“Amazon Q 开发者版：通过提示注入实现远程代码执行”和“适用于 VS Code 的 Amazon Q 开发者版容易受到隐形提示注入的攻击。”

这些问题的触发需要在开放的聊天会话中，并使用 find、grep、echo 等命令有意访问恶意文件，这些命令可在无需人机协同（HITL）确认的情况下执行。在某些情况下，隐形控制字符可能会混淆这些命令。2025 年 7 月 17 日，我们发布了 Language Server v1.22.0，要求上述命令必须经过 HITL 确认。

“Amazon Q 开发者版：通过 DNS 和提示注入泄露密钥。”

此问题的触发需要开发人员接受提示注入建议，包括 ping 或 dig 等命令，这些命令可以在无需 HITL 确认的情况下，通过 DNS 查询泄露元数据。2025 年 7 月 29 日，我们发布了 Language Server v1.24.0，要求上述命令必须经过 HITL 确认。

“AWS Kiro：通过间接提示注入执行任意代码。”

此问题的触发需要获得本地系统访问权限，以通过 Kiro IDE 或 MCP 设置文件注入指令，进而实现任意代码执行，且该过程在 Kiro 的自动模式或监督模式下均无需 HITL 确认。2025 年 8 月 1 日，我们发布了 Kiro 0.1.42 版本，要求在监督模式下，此类操作必须经过 HITL 确认。

Amazon Q 开发者版和 Kiro 基于代理式开发理念构建，使开发人员能够在人工智能代理的帮助下更高效地工作。随着客户采用人工智能增强型开发流程，我们建议客户根据自身具体环境和责任共担模型（AWS、Amazon Q、Kiro）来评估并实施适当的安全控制措施和策略。Amazon Q 开发者版和 Kiro 提供包括人机协作防护、可自定义执行策略在内的安全保障措施，以支持安全采用。

受影响的版本：

• 适用于 find、grep、echo 的 Amazon Q 开发者版（版本 <1.22.0）
• 适用于 ping、dig 的 Amazon Q 开发者版（版本 <1.24.0）
• AWS Kiro：0.1.42 版本

解决方法：

通过重启插件、升级到最新的 Amazon Q 开发者版 IDE 插件或最新的 Kiro IDE 应用程序，升级到 Language Server v1.24.0 或更高版本。升级后，上述命令需经过 HITL 确认（Kiro 在监督模式下时）。

致谢：

感谢 Embrace the Red、HiddenLayer 及 MaccariTA 通过协同漏洞披露流程就上述问题与我们协作。

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。