Mitteilungs-ID: AWS-2025-019
Geltungsbereich: AWS
Inhaltstyp: Wichtig (erfordert Beachtung)
Veröffentlichungsdatum: 07.10.2025, 13:30 Uhr PDT

Beschreibung:

Wir sind über die Blogbeiträge von Embrace The Red („Der Monat der KI-Bugs“) informiert, in denen Promptinjektionsprobleme in Amazon Q Developer und Kiro beschrieben werden.

„Amazon Q Developer: Remotecodeausführung mit Promptinjektion“ und „Amazon Q Developer for VS Code ist anfällig für unsichtbare Promptinjektion.“

Diese Probleme erfordern eine offene Chat-Sitzung und den absichtlichen Zugriff auf eine schädliche Datei mithilfe von Befehlen wie find, grep oder echo, die ohne Human-in-the-Loop (HITL)-Bestätigung ausgeführt werden könnten. In einigen Fällen könnten unsichtbare Steuerzeichen diese Befehle verschleiern. Am 17. Juli 2025 haben wir Language Server v1.22.0 veröffentlicht, der für diese Befehle eine HITL-Bestätigung erfordert.

„Amazon Q Developer: Geheimnisse sind per DNS und Promptinjektion durchgesickert.“

Dieses Problem erfordert, dass ein Entwickler einen Prompt akzeptiert, der Befehle wie Ping oder Dig enthält, welche Metadaten über DNS-Abfragen ohne HITL-Bestätigung exfiltrieren könnten. Am 29. Juli 2025 haben wir Language Server v1.24.0 veröffentlicht, der für diese Befehle eine HITL-Bestätigung erfordert.

„AWS Kiro: Ausführung beliebiger Codes per indirekter Promptinjektion.“

Dieses Problem erfordert lokalen Systemzugriff, um Befehle, die zur Ausführung von beliebigem Code führen, über Kiro IDE- oder MCP-Einstellungsdateien ohne HITL-Bestätigung im Autopilot- oder Supervised-Modus von Kiro einzufügen. Am 1. August 2025 haben wir die Kiro-Version 0.1.42 veröffentlicht, für die eine HITL-Bestätigung für diese Aktionen erforderlich ist, wenn sie im Supervised-Modus konfiguriert sind.

Amazon Q Developer und Kiro basieren auf den Prinzipien der Agentenentwicklung, sodass Entwickler mithilfe von KI-Agenten effizienter arbeiten können. Wenn Kunden KI-gestützte Entwicklungsworkflows einführen, empfehlen wir ihnen, angemessene Sicherheitskontrollen und -richtlinien auf der Grundlage ihrer spezifischen Umgebungen und Modelle der gemeinsamen Verantwortung (AWS, Amazon Q, Kiro) zu evaluieren und zu implementieren. Amazon Q Developer und Kiro bieten Sicherheitsvorkehrungen, darunter Human-in-the-Loop-Schutzmaßnahmen und anpassbare Ausführungsrichtlinien, um eine sichere Einführung zu unterstützen.

Betroffene Versionen: 

• Amazon Q Developer für find, grep, echo (Version <1.22.0)
• Amazon Q Developer für Ping, Dig: (Versionen <1.24.0)
• AWS Kiro: Version 0.1.42

Behebung:

Führen Sie ein Upgrade auf Language Server v1.24.0 oder neuer durch, indem Sie das Plugin neu starten und ein Upgrade auf das neueste Plugin von Amazon Q Developer IDE oder die neueste Kiro-IDE-Anwendung durchführen. Nach dem Upgrade benötigen diese Befehle eine HITL-Bestätigung (im Supervised-Modus für Kiro).

Anerkennung:

Wir möchten Embrace the Red, HiddenLayer und MaccariTA dafür danken, dass sie im Rahmen des koordinierten Prozesses zur Offenlegung von Sicherheitslücken bei diesen Problemen zusammengearbeitet haben.

Bei Sicherheitsfragen oder -bedenken wenden Sie sich bitte per E-Mail an aws-security@amazon.com.