حمله سایبری به Amazon Q: چگونه یک هکر امنیت هوش مصنوعی آمازون را به چالش کشید؟

Amazon Q، دستیار هوش مصنوعی برنامه‌نویسی آمازون و افزونه‌ای برای Visual Studio Code، یکی از ابزارهای کلیدی برای توسعه‌دهندگان در پلتفرم ابری AWS محسوب می‌شود. این ابزار که هم‌اکنون بیش از یک میلیون کاربر دارد، در معرض یک دستکاری مخرب قرار گرفت.

نفوذ از طریق گیت‌هاب و تزریق کد مخرب
بررسی‌ها نشان می‌دهد که یک هکر با نام مستعار «lkmanka58» از طریق پلتفرم GitHub به کد منبع Amazon Q دسترسی یافته، کد مخربی را به آن تزریق کرده و نسخه آلوده را مجدداً در مخزن بارگذاری کرده است.

شرکت آمازون در واکنش سریع، نسخه ۱.۸۴ این ابزار را که در ۱۴ ژوئیه منتشر شده بود، به‌صورت مستقیم برای کاربران ارسال کرد. با این حال، پس از شناسایی مشکل، این نسخه از فروشگاه Visual Studio Code حذف شد.

انتقادها به آمازون: عدم شفافیت و ضعف امنیتی
این حادثه با واکنش تند کارشناسان امنیتی و توسعه‌دهندگان مواجه شد. بسیاری از متخصصان، عدم شفافیت آمازون در افشای جزئیات حمله و تأخیر در اطلاع‌رسانی را مورد انتقاد قرار دادند.

هکر عامل این حمله نیز در اظهارنظری تند، سیاست‌های امنیتی آمازون را «تئاتر امنیتی» خواند و ادعا کرد که اقدامات این شرکت بیشتر ظاهری است تا کاربردی. وی تأکید کرد که کد مخرب طراحی‌شده صرفاً برای ارسال هشدار به شرکت و کاربران بوده و قابلیت حذف داده‌های کاربران را داشته است، اما در عمل بی‌اثر مانده است.

هشدار کارشناسان: لزوم بازنگری در مکانیزم‌های امنیتی
استفن وان نیکولز، متخصص امنیت سایبری و سردبیر ZDNet، با تأیید دیدگاه هکر، این حمله را هشدار جدی برای آمازون دانست. وی خاطرنشان کرد که این شرکت باید فرآیندهای بررسی کدهای متن‌باز خود را اصلاح کند تا از وقوع چنین حوادثی در آینده جلوگیری شود.

واکنش آمازون: تأکید بر امنیت کاربران
آمازون در بیانیه‌ای رسمی اعلام کرد که امنیت کاربران اولویت اصلی این شرکت است و از تمام کاربران خواست تا به نسخه ۱.۸۵ بازگردند. این شرکت همچنین تأکید کرد که هیچ داده کاربری در این حادثه آسیب ندیده است.

با این حال، این رویداد بار دیگر چالش‌های امنیتی ابزارهای مبتنی بر هوش مصنوعی را برجسته کرده و لزوم اعمال استانداردهای سخت‌گیرانه‌تر در توسعه این فناوری‌ها را یادآور شده است.