Tidigare i juli komprometterades Amazon Q, den amerikanska jättens AI-baserade kodassistent, av en hackare. Men det handlade inte om någon intrång på företagets servrar eller något annat egentligt hack. Istället lade hackaren till en så kallad pull request på Amazon Q:s Github-sida som såg ut att innehålla typiska buggfixar men i själva verket innehöll skadlig kod, skriver Techspot.
Den skadliga koden kunde, om den aktiverades på användares datorer, radera nästan allt på både den inbyggda lagringen och anslutna molnlagringstjänster, och mer eller mindre fabriksåterställa datorn.
Amazon godkände kodtillägget och skickade ut det som en del av version 1.84.0 av assistentens VS Code-tillägg, som släpptes den 17 juli och används av nära en miljon programmerare. Företaget drog senare tillbaka den versionen av tillägget när det skadliga tillskottet upptäcktes, men tillkännagav först inte upptäckten – något som har kritiserats av säkerhetsexperter som en brist på transparens.
Hackaren själv har intervjuats av 404 Media och kallar Amazons säkerhetsåtgärder för ”säkerhetsteater” och menar att företaget inte tar säkerhet på allvar utan bara låtsas göra det för syns skull. Hackaren säger även att den skadliga koden medvetet var oskadliggjord och bara var tänkt som en varning. Målet var att tvinga Amazon att erkänna bristerna i säkerhetsarbetet.
