공지 ID: AWS-2025-019
범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2025년 10월 7일 오후 1시 30분(PDT)

설명:

Embrace The Red의 블로그 게시물인 ‘The Month of AI Bugs’에서 Amazon Q Developer와 Kiro의 프롬프트 인젝션 문제를 다룬 것을 알고 있습니다.

‘Amazon Q Developer: 프롬프트 인젝션을 통한 원격 코드 실행’ 및 ‘보이지 않는 프롬프트 인젝션에 취약한 VS 코드용 Amazon Q Developer’

이러한 문제를 해결하려면 공개 채팅 세션이 필요하고 find, grep 또는 echo와 같은 명령을 사용하여 악성 파일에 의도적으로 액세스해야 합니다. 이러한 명령은 휴먼 인 더 루프(HITL) 확인 없이 실행될 수 있습니다. 경우에 따라 보이지 않는 제어 문자로 인해 이러한 명령을 난독화할 수 있습니다. 2025년 7월 17일에 출시된 Language Server v1.22.0은 이러한 명령들에 대해 HITL 확인 절차를 요구합니다.

‘Amazon Q Developer: DNS와 프롬프트 인젝션을 통해 비밀 유출’

이 문제를 해결하려면 개발자가 ping 또는 dig와 같은 명령을 포함하여 프롬프트 인젝션 제안을 수락해야 합니다. 이 경우 HITL 확인 없이 DNS 쿼리를 통해 메타데이터가 유출될 수 있습니다. 2025년 7월 29일에 출시된 Language Server v1.24.0은 이러한 명령들에 대해 HITL 확인 절차를 요구합니다.

‘AWS Kiro: 간접 프롬프트 인젝션을 통한 임의 코드 실행’

이 문제에는 Kiro의 오토파일럿 또는 지도 모드에서 HITL 확인 없이 Kiro IDE 또는 MCP 설정 파일을 통해 임의 코드 실행으로 이어지는 인젝션 명령을 실행할 수 있으므로 로컬 시스템 액세스가 필요합니다. 2025년 8월 1일에 Kiro 버전 0.1.42가 출시되었습니다. 이 버전에서는 지도 모드에서 구성할 때 이러한 작업에 대해 HITL 확인이 필요합니다.

Amazon Q Developer와 Kiro는 에이전트 개발 원칙을 기반으로 구축되었으므로 개발자는 AI 에이전트의 도움을 받아 더 효율적으로 작업할 수 있습니다. 고객이 AI 강화 개발 워크플로를 채택할 때는 특정 환경 및 공동 책임 모델(AWS, Amazon Q, Kiro)을 기반으로 적절한 보안 제어 및 정책을 평가하고 구현하는 것이 좋습니다. Amazon Q Developer와 Kiro는 안전한 채택을 지원하기 위해 Human-in-the-Loop 보호 및 사용자 지정 가능한 실행 정책을 비롯한 보호 장치를 제공합니다.

영향을 받는 버전:

• find, grep, echo를 위한 Amazon Q Developer(버전 1.22.0 미만)
• ping, dig을 위한 Amazon Q Developer: (버전 1.24.0 미만)
• AWS Kiro: 버전 0.1.42

해결 방법:

Language Server v1.24.0 이상으로 업그레이드하려면 플러그인을 다시 시작하거나 최신 Amazon Q Developer IDE 플러그인 또는 최신 Kiro IDE 애플리케이션으로 업그레이드하세요. 업그레이드 후에는 이 명령은 HITL 확인 절차를 거쳐야 하며, 이는 Kiro가 지도 모드로 설정된 경우에 적용됩니다.

도움을 주신 분:

조정된 취약성 공개 프로세스를 통해 이러한 문제 해결에 도움을 주신 Embrace the Red, HiddenLayer, MaccariTA에 감사드립니다.

보안 관련 질문이나 우려 사항이 있는 경우 aws-security@amazon.com으로 문의하세요.