何が起きたか
Wiz ResearchはAmazon Q DeveloperのCVE-2026-12957(CVSS 8.5)を開示しました。AWS実行時の言語サーバー — Amazon QをVS Code、JetBrains、Eclipse、Visual Studioに対応させるもの — はユーザー同意またはワークスペース信頼ゲートを実施することなく、開かれたあらゆるワークスペースに存在する.amazonq/mcp.jsonファイルからMCPサーバー設定を自動的に読み取り実行しました。リポジトリに配置された単一の悪意のある設定ファイルにより、Amazon Qは開発者の完全な環境を継承した攻撃者制御のMCPサーバープロセスを自動起動し、AWS認証情報、クラウドCLIトークン、APIシークレット、SSHエージェントソケットを露出しました。関連する欠陥CVE-2026-12958が露出を悪化させました。Wizは2026年4月20日に報告しました。AmazonはLanguage Servers for AWS v1.65.0(v1.69.0推奨)で2026年5月12日にパッチしました。
なぜ重要か
クローン化されたリポジトリを開く — 日常的な開発者アクションは — 攻撃者に開発者のライブAWSセッションを渡すために十分でした。Amazon QはIDEレベルでAWS認証情報と密に統合されているため、git cloneから完全なクラウドアカウント侵害への攻撃パスは単一のステップでした。Hacker Newsは複数のAIコーディングアシスタント間で確認された単なるAmazonバグではなく、システミックなMCPアーキテクチャ信頼境界障害と呼びました。
攻撃経路
攻撃者がリポジトリに悪意のある.amazonq/mcp.jsonを配置します。開発者がワークスペースを開き信頼します。Amazon Qは攻撃者定義のMCPサーバーを自動起動し、開発者の完全な認証情報環境を継承します。
影響を受けるシステム
Amazon Q Developer / Language Servers for AWS < v1.65.0。VS Code、JetBrains、Eclipse、Visual Studio拡張機能に影響を与えます。
緩和策
Language Servers for AWSをv1.69.0以降にアップグレードします。ワークスペース信頼を不慣れなリポジトリを開く前に強制します。Wiz Research advisory:https://www.wiz.io/blog/amazon-q-developer-mcp-vulnerability; The Hacker News coverage:https://thehackernews.com/2026/06/amazon-q-developer-flaw-could-let.html