ثغرة خطيرة في Amazon Q Developer تهدد بيئات المطورين

كشف باحثو Wiz Research عن ثغرة عالية الخطورة في مساعد البرمجة المدعوم بالذكاء الاصطناعي Amazon Q Developer، تسمح لمستودع خبيث بتنفيذ أوامر وسرقة بيانات اعتماد السحابة الخاصة بالمطورين. الثغرة مصنفة تحت رقم CVE-2026-12957 بدرجة خطورة 8.5 وفقًا لمقياس CVSS، وقد تم إصلاحها من قبل أمازون في مايو 2026.

كيف يعمل الهجوم

الثغرة تكمن في طريقة تعامل Amazon Q مع ملفات إعداد Model Context Protocol (MCP). عند فتح مطور لمستودع يحتويعلى ملف ‎.amazonq/mcp.json‎، يقوم المساعد تلقائيًا بتشغيل الخوادم المحددة داخله. هذه الخوادم تعمل كعمليات محلية يمكنها الوصول إلى قواعد البيانات وواجهات البرمجة وأدوات البناء، لكنها ترث بيئة المطور بالكامل، بما في ذلك مفاتيح AWS، رموز الوصول، وأسرار واجهات البرمجة. بذلك، يمكن لملف واحد داخل المستودع أن ينفذ تعليمات برمجية عشوائية باستخدام جلسة السحابة النشطة للمطور، دون الحاجة إلى كلمة مرور أو تسجيل دخول إضافي.

إثبات المفهوم

في تجربة Wiz، قام الملف بتنفيذ أمر ‎aws sts get-caller-identity‎ وإرسال النتيجة إلى خادم المهاجم، ما سمح بالحصول على هوية جلسة AWS النشطة. من هناك، يمكن للمهاجم تثبيت مستخدم IAM خلفي، الوصول إلى خدمات داخلية، أو التوجه نحو بيئات الإنتاج.

التصحيحات والإصدارات الآمنة

أمازون أصدرت تحديثًا في Language Servers for AWS، حيث تم إصلاح الثغرة في الإصدار 1.65.0، لكن الشركة أوصت بالترقية إلى 1.69.0 الذي يعالج أيضًا ثغرة ثانية (CVE-2026-12958) مرتبطة بالروابط الرمزية. الإصدارات الآمنة من الإضافات:

  • VS Code: 2.20 أو أحدث
  • JetBrains: 4.3 أو أحدث
  • Eclipse: 2.7.4 أو أحدث
  • Visual Studio toolkit: 1.94.0.0 أو أحدث
نمط متكرر وليس حادثة منفردة

هذه ليست المرة الأولى التي يقع فيها مساعد برمجي في فخ ثقة إعدادات MCP. فقد سبقتها ثغرات في Claude Code (CVE-2025-59536) وCursor (CVE-2025-54136)، إضافة إلى Windsurf (CVE-2026-30615)، حيث تحولت ملفات الإعداد إلى سلوك تنفيذي دون تحقق كافٍ من الثقة. المشكلة الجوهرية تكمن في أن ملفات الإعداد المحمولة داخل المستودعات تُعامل كمدخلات غير موثوقة، وتحويلها إلى عمليات نشطة يجب أن يتطلب موافقة صريحة من المطور.

محمد طاهر
محمد طاهر
المقالات: 1700

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.