ID du bulletin : AWS-2025-019
Étendue : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 07/10/2025 à 13 h 30 (heure du Pacifique)

Description :

Nous avons pris connaissance d’articles de blog publiés par Embrace The Red (« The Month of AI Bugs ») décrivant des problèmes d’injection d’invite dans Amazon Q Developer et Kiro.

« Amazon Q Developer: Remote Code Execution with Prompt Injection » et « Amazon Q Developer for VS Code Vulnerable to Invisible Prompt Injection ».

Ces problèmes nécessitent une session de discussion ouverte et un accès intentionnel à un fichier malveillant à l’aide de commandes comme find, grep ou echo, qui peuvent être exécutées sans confirmation avec intervention humaine (HITL). Dans certains cas, des caractères de contrôle invisibles pouvaient masquer ces commandes. Le 17 juillet 2025, nous avons publié Language Server v1.22.0, qui nécessite une confirmation HITL pour ces commandes

« Amazon Q Developer: Secrets Leaked via DNS and Prompt Injection ».

Ce problème nécessite qu’un développeur accepte une suggestion injectée par invite, et comprend des commandes comme ping ou dig, qui pouvaient exfiltrer les métadonnées via des requêtes DNS sans confirmation HITL. Le 29 juillet 2025, nous avons publié Language Server v1.24.0, qui nécessite une confirmation HITL pour ces commandes.

« AWS Kiro: Arbitrary Code Execution via Indirect Prompt Injection .»

Ce problème nécessite un accès au système local pour injecter des instructions qui entraînent l’exécution de code arbitraire via des fichiers de paramètres Kiro IDE ou MCP sans confirmation HITL en mode Supervisé ou Autopilot de Kiro. Le 1er août 2025, nous avons publié la version 0.1.42 de Kiro, qui nécessite une confirmation HITL pour ces actions lors de la configuration en mode Supervisé.

Amazon Q Developer et Kiro reposent sur les principes du développement agentique, ce qui permet aux développeurs de travailler plus efficacement à l’aide d’agents d’IA. Lorsque les clients adoptent des flux de développement optimisés par l’IA, nous leur recommandons d’évaluer et de mettre en œuvre des contrôles et des politiques de sécurité appropriés en fonction de leurs environnements spécifiques et de leurs modèles de responsabilité partagée (AWS, Amazon Q, Kiro). Amazon Q Developer et Kiro fournissent des mesures de protection, notamment des protections liées à l’intervention humaine (HITL), et des politiques d’exécution personnalisables, afin de favoriser une adoption sécurisée.

Versions concernées : 

• Amazon Q Developer pour find, grep, echo : versions < 1.22.0
• Amazon Q Developer pour ping, dig : versions < 1.24.0
• AWS Kiro : version 0.1.42

Résolution :

Mettez à niveau vers la version 1.24.0 ou ultérieure de Language Server en redémarrant le plug-in et en mettant à niveau vers le dernier plug-in Amazon Q Developer IDE ou la dernière application Kiro IDE. Après la mise à niveau, ces commandes nécessitent une confirmation HITL (en mode Supervisé pour Kiro).

Remerciements :

Nous tenons à remercier Embrace the Red, HiddenLayer et MaccariTA pour leur collaboration sur ces questions dans le cadre du processus coordonné de divulgation des vulnérabilités.

Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.