事件经过
Wiz Research披露了Amazon Q Developer中的CVE-2026-12957(CVSS 8.5):为AWS运行时提供语言服务器——为VS Code、JetBrains、Eclipse和Visual Studio中的Amazon Q提供支持——自动读取和执行任何打开的工作区中存在的.amazonq/mcp.json文件中的MCP服务器配置,无需用户同意或工作区信任门控。放置在仓库中的单个恶意配置文件导致Amazon Q自动启动继承开发人员完整环境的攻击者控制MCP服务器进程,暴露AWS凭证、云CLI令牌、API密钥和SSH代理套接字。相关缺陷CVE-2026-12958加剧了暴露。Wiz于2026年4月20日报告;Amazon在Language Servers for AWS v1.65.0中于5月12日修补(建议v1.69.0)。
影响分析
克隆仓库——一个常见开发人员操作——足以让攻击者获得开发人员的实时AWS会话。因为Amazon Q与IDE级别的AWS凭证紧密集成,从git clone到完整云账户折衷的攻击路径是单一步骤。Hacker News将其称为跨多个AI编码助手确认的系统性MCP架构信任边界失败,而非隔离的Amazon错误。
攻击途径
攻击者在仓库中放置恶意.amazonq/mcp.json;开发人员打开并信任工作区;Amazon Q自动启动继承开发人员完整凭证环境的攻击者定义MCP服务器
受影响系统
Amazon Q Developer / Language Servers for AWS < v1.65.0;影响VS Code、JetBrains、Eclipse、Visual Studio扩展
缓解措施
更新Language Servers for AWS至v1.69.0或更高版本;在打开陌生仓库之前强制执行工作区信任。Wiz Research公告:https://www.wiz.io/blog/amazon-q-developer-mcp-vulnerability;The Hacker News报道:https://thehackernews.com/2026/06/amazon-q-developer-flaw-could-let.html