무슨 일이 있었나
Wiz Research는 Amazon Q Developer의 CVE-2026-12957 (CVSS 8.5)를 공개했습니다. AWS 런타임용 Language Servers는 VS Code, JetBrains, Eclipse 및 Visual Studio에서 Amazon Q에 전원을 공급합니다. 열린 워크스페이스에 있는 .amazonq/mcp.json 파일에서 MCP 서버 구성을 사용자 동의 또는 워크스페이스 신뢰 게이팅 없이 자동으로 읽고 실행했습니다. 저장소에 배치된 단일 악성 구성 파일로 인해 Amazon Q가 개발자의 전체 환경을 상속한 공격자 제어 MCP 서버 프로세스를 자동으로 시작하여 AWS 자격 증명, 클라우드 CLI 토큰, API 비밀 및 SSH 에이전트 소켓을 노출했습니다. 관련 결함인 CVE-2026-12958이 노출을 악화시켰습니다. Wiz는 2026년 4월 20일에 보고했으며, Amazon은 Language Servers for AWS v1.65.0 (v1.69.0 권장)에서 2026년 5월 12일에 패치했습니다.
왜 중요한가
복제된 저장소를 여는 것(일상적인 개발자 작업)은 공격자에게 개발자의 활성 AWS 세션을 제공하기에 충분했습니다. Amazon Q가 IDE 수준에서 AWS 자격 증명과 긴밀하게 통합되어 있기 때문에, git clone에서 전체 클라우드 계정 손상으로의 공격 경로는 한 단계였습니다. The Hacker News는 여러 AI 코딩 어시스턴트에 걸쳐 확인된 체계적 MCP 아키텍처 신뢰 경계 실패라고 부르며, 고립된 Amazon 버그가 아닙니다.
공격 경로
공격자는 저장소에 악성 .amazonq/mcp.json을 배치합니다. 개발자가 워크스페이스를 열고 신뢰합니다. Amazon Q는 개발자의 전체 자격 증명 환경을 상속한 공격자 정의 MCP 서버를 자동으로 시작합니다.
영향받는 시스템
Amazon Q Developer / Language Servers for AWS < v1.65.0; VS Code, JetBrains, Eclipse, Visual Studio 확장에 영향을 줍니다.
완화 방안
Language Servers for AWS를 v1.69.0 이상으로 업데이트합니다. 익숙하지 않은 저장소를 열기 전에 워크스페이스 신뢰를 적용합니다. Wiz Research 권고: https://www.wiz.io/blog/amazon-q-developer-mcp-vulnerability; The Hacker News 보도: https://thehackernews.com/2026/06/amazon-q-developer-flaw-could-let.html