速報 ID: AWS-2025-019
対象範囲: AWS
コンテンツタイプ: 重要 (要注意)
発行日: 2025 年 10 月 7 日 午後 1 時 30 分 (PDT)

説明:

AWS では、Amazon Q Developer および Kiro におけるプロンプトインジェクション問題を説明する、Embrace The Red (「The Month of AI Bugs」) によるブログ記事について認識しています。

「Amazon Q Developer: Remote Code Execution with Prompt Injection」および「Amazon Q Developer for VS Code Vulnerable to Invisible Prompt Injection」

これらの問題の発生条件は、オープンチャットセッションと、ヒューマンインザループ (HITL) 確認なしで実行できる find、grep、または echo などのコマンドを使用した悪意のあるファイルへの意図的なアクセスです。場合によっては、不可視の制御文字がこれらのコマンドを難読化することもあります。AWS は 2025 年 7 月 17 日に、これらのコマンドに対する HITL 確認を義務付ける Language Server v1.22.0 をリリースしました。

「Amazon Q Developer: Secrets Leaked via DNS and Prompt Injection」

この問題では、開発者がプロンプトインジェクション経由で行われた提案を受け入れることが発生条件になります。これには ping や dig などのコマンドが含まれ、HITL 確認を伴わない DNS クエリ経由でメタデータを抽出する可能性があります。AWS は 2025 年 7 月 29 日に、これらのコマンドに対する HITL 確認を義務付ける Language Server v1.24.0 を リリースしました。

「AWS Kiro: Arbitrary Code Execution via Indirect Prompt Injection」

この問題の発生条件は、Kiro の Autopilot または Supervised モードでの HITL 確認を伴わない Kiro IDE または MCP 設定ファイル経由の任意コード実行につながる指示を挿入するためのローカルシステムアクセスです。AWS は、2025 年 8 月 1 日に Kiro バージョン 0.1.42 をリリースしました。このバージョンは、アクションが Supervised モードで設定されている場合に、これらのアクションに対する HITL 確認を義務付けます。

Amazon Q Developer と Kiro はエージェンティック開発の原則に基づいて構築されており、開発者が AI エージェントの助けを借りて作業をより効率的に行えるようにします。お客様が AI で強化された開発ワークフローを導入するときは、お客様固有の環境と責任共有モデル (AWS、Amazon Q、Kiro) に基づいて適切なセキュリティコントロールとポリシーを評価し、実装することをお勧めします。Amazon Q Developer と Kiro は、ヒューマンインザループ保護やカスタマイズ可能な実行ポリシーなどのセーフガードを提供することで、セキュアな導入をサポートしています。

影響を受けるバージョン:

• Amazon Q Developer での find、grep、echo: バージョン 1.22.0 未満
• Amazon Q Developer での ping、dig: バージョン 1.24.0 未満
• AWS Kiro: バージョン 0.1.42

解決方法:

プラグインを再起動するか、最新の Amazon Q Developer IDE プラグインまたは最新の Kiro IDE アプリケーションにアップグレードすることで、Language Server v1.24.0 以降にアップグレードしてください。アップグレード後、これらのコマンドには HITL 確認が必要になります (Kiro では Supervised モード使用時)。

謝辞:

協調的脆弱性開示プロセスを通じてこれらの問題の解決に協力してくださった Embrace the Red、HiddenLayer、および MaccariTA に感謝いたします。

セキュリティに関する質問や懸念がある場合は、aws-security@amazon.com まで E メールでお問い合わせください。