ID do boletim: AWS-2025-019
Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data da publicação: 07/10/2025 13:30 PDT

Descrição:

Estamos cientes das publicações no blog Embrace The Red (“The Month of AI Bugs”) que descrevem problemas de injeção de prompt no Amazon Q Developer e no Kiro.

“Amazon Q Developer: Remote Code Execution with Prompt Injection” e “Amazon Q Developer for VS Code Vulnerable to Invisible Prompt Injection”.

Esses problemas exigem uma sessão de chat aberta e acesso intencional a um arquivo mal-intencionado usando comandos como find, grep ou echo, que poderiam ser executados sem confirmação Human-in-the-Loop (HITL). Em alguns casos, caracteres de controle invisíveis podem ofuscar esses comandos. Em 17 de julho de 2025, lançamos o Language Server v1.22.0, no qual a confirmação HITL é necessária para esses comandos.

“Amazon Q Developer: Secrets Leaked via DNS and Prompt Injection”.

Esse problema requer que um desenvolvedor aceite uma sugestão injetada por prompt, incluindo comandos como ping ou dig, que podem extrair metadados por meio de consultas DNS sem a confirmação HITL. Em 29 de julho de 2025, lançamos o Language Server v1.24.0, no qual a confirmação HITL é necessária para esses comandos.

“AWS Kiro: Arbitrary Code Execution via Indirect Prompt Injection”.

Esse problema requer acesso ao sistema local para injetar instruções que levam à execução de código arbitrário por meio do IDE Kiro ou de arquivos de configuração do MCP sem confirmação HITL no modo Autopilot ou Supervised do Kiro. Em 1º de agosto de 2025, lançamos a versão 0.1.42 do Kiro, que exige confirmação HITL para essas ações quando configurada no modo Supervised.

O Amazon Q Developer e o Kiro foram desenvolvidos com base nos princípios do desenvolvimento agêntico, permitindo que os desenvolvedores trabalhem com mais eficiência, auxiliados por agentes de IA. À medida que os clientes adotam fluxos de trabalho de desenvolvimento aprimorados por IA, recomendamos que eles avaliem e implementem controles e políticas de segurança adequados com base em seus ambientes específicos e modelos de responsabilidade compartilhada (AWS, Amazon Q, Kiro). O Amazon Q Developer e o Kiro oferecem medidas de segurança, incluindo proteções Human-in-the-Loop e políticas de execução personalizáveis, para promover uma adoção segura.

Versões afetadas: 

• Amazon Q Developer para find, grep, echo (versão <1.22.0)
• Amazon Q Developer para ping, dig: (versões <1.24.0)
• AWS Kiro: versão 0.1.42

Resolução:

Faça upgrade para o Language Server v1.24.0 ou mais recente reiniciando o plug-in, atualizando para o plug-in de IDE Amazon Q Developer mais recente ou para a aplicação de IDE Kiro mais recente. Após o upgrade, esses comandos exigirão confirmação HITL (quando no modo Supervised para o Kiro).

Agradecimento:

Gostaríamos de agradecer à Embrace the Red, HiddenLayer e MaccariTA pela colaboração nesses temas por meio do processo coordenado de divulgação de vulnerabilidades.

Envie um e-mail para aws-security@amazon.com em caso de qualquer dúvida ou preocupação sobre segurança.