ID Bollettino: AWS-2025-019
Ambito: AWS
Tipo di contenuto: importante (richiede attenzione)
Data di pubblicazione: 07/10/2025 13:30 PDT

Descrizione:

Siamo a conoscenza dei post sul blog di Embrace The Red (“The Month of AI Bugs”) che descrivono i problemi di iniezione di prompt in Amazon Q Developer e Kiro.

“Amazon Q Developer: esecuzione di codice da remoto con iniezione di prompt” e “Amazon Q Developer per VS Code vulnerabile all’iniezione di prompt invisibile.”

Perché si verifichino questi problemi è necessario che vi sia una sessione di chat aperta e l’accesso intenzionale a un file dannoso tramite comandi come find, grep o echo, che potrebbero essere eseguiti senza la conferma di human-in-the-loop (HITL). In alcuni casi, i caratteri di controllo invisibili potrebbero offuscare questi comandi. Il 17 luglio 2025, abbiamo rilasciato Language Server versione 1.22.0, che richiede la conferma HITL per questi comandi

“Amazon Q Developer: Secrets Leaked via DNS and Prompt Injection.”

Perché questo problema si verifichi, uno sviluppatore deve accettare un suggerimento inviato tramite iniezione di prompt che include comandi come ping o dig, che potrebbero sottrarre metadati tramite query DNS senza la conferma HITL. Il 29 luglio 2025, abbiamo rilasciato Language Server v1.24.0, che richiede la conferma HITL per questi comandi.

“AWS Kiro: Arbitrary Code Execution via Indirect Prompt Injection.”

Perché questo problema si verifichi, deve essere eseguito l’accesso al sistema locale, consentendo di inserire istruzioni che portano all’esecuzione arbitraria di codice tramite i file di impostazioni IDE o MCP di Kiro senza conferma HITL in modalità Autopilot o Supervised. Il 1° agosto 2025, abbiamo rilasciato la versione 0.1.42 di Kiro, che richiede la conferma HITL per queste azioni in caso di configurazione nella modalità Supervised.

Amazon Q Developer e Kiro si basano sui principi dello sviluppo agentico, consentendo agli sviluppatori di lavorare in modo più efficiente con l’aiuto degli agenti IA. Quando i clienti adottano flussi di lavoro di sviluppo potenziati dall’intelligenza artificiale, consigliamo loro di valutare e implementare controlli e politiche di sicurezza appropriati in base ai loro ambienti specifici e ai modelli di responsabilità condivisa (AWS, Amazon Q, Kiro). Amazon Q Developer e Kiro forniscono salvaguardie, tra cui protezioni human-in-the-loop e politiche di esecuzione personalizzabili, per supportare un’adozione sicura.

Versioni interessate:

• Amazon Q Developer per find, grep, echo (versione <1.22.0)
• Amazon Q Developer per ping, dig: (versioni <1.24.0)
• AWS Kiro: versione 0.1.42

Risoluzione:

esecuzione dell’upgrade a Language Server versione 1.24.0 o successiva riavviando il plug-in, eseguendo l’aggiornamento all’ultimo plug-in IDE di Amazon Q Developer o all’ultima applicazione IDE di Kiro. Dopo l’aggiornamento, questi comandi richiedono la conferma HITL (se per Kiro è stata impostata la modalità Supervised).

Ringraziamenti:

desideriamo ringraziare Embrace the Red, HiddenLayer, e MaccariTA per aver collaborato alla risoluzione di questi problemi attraverso il processo di divulgazione coordinata delle vulnerabilità.

Per eventuali domande o dubbi sulla sicurezza, invia un’e-mail all’indirizzo aws-security@amazon.com.