Hacker viola Amazon Q per criticare le policy di Amazon: sicurezza di facciata

https://www.hdblog.it/amazon/articoli/n626690/amazon-fuga-dati-1-milione-utenti-coding-ai/

HDblog.it Jul 28, 2025 · 1 min read
Hacker viola Amazon Q per criticare le policy di Amazon: sicurezza di facciata
Share this

L'attacco è stato condotto tramite l'inserimento di codice non autorizzato nel repository open-source GitHub dell'assistente, attraverso una pull request apparentemente di routine che è stata approvata. Il codice malevolo conteneva un prompt che istruiva l'agente AI a "ripulire un sistema a uno stato quasi di fabbrica ed eliminare file di sistema e risorse cloud", un'azione potenzialmente devastante. Questa modifica è stata inclusa nella versione 1.84.0 dell'estensione, distribuita pubblicamente il 17 luglio.

Amazon, che inizialmente non ha rilevato la violazione e non ha rilasciato un comunicato pubblico, ha successivamente rimosso la versione compromessa. A far emergere la vicenda è stato lo stesso hacker, che ha rivendicato l'azione come una dimostrazione intenzionale dell'inadeguatezza delle misure di sicurezza di Amazon, da lui definite un "teatro della sicurezza" (ovviamente parla di "security theater"), ovvero più di facciata che efficaci. Ha inoltre specificato di aver reso il codice volutamente non funzionante, con lo scopo di lanciare un avvertimento e spingere Amazon a migliorare le proprie procedure, senza causare danni reali.

Esperti del settore, come Steven Vaughan-Nichols di ZDNet, hanno sottolineato come l'incidente non sia tanto una critica all'open source, quanto alla gestione dei flussi di lavoro open source da parte di Amazon. Il codice malevolo è finito in una release ufficiale perché i processi di verifica e controllo delle pull request non hanno funzionato.

In seguito all'accaduto, un'indagine interna di Amazon ha concluso che il codice non si sarebbe comunque eseguito come previsto a causa di un errore tecnico. L'azienda ha revocato le credenziali compromesse, rimosso il codice e rilasciato una nuova versione "pulita" dell'estensione (1.85.0 o successive), consigliando a tutti gli utenti di aggiornare. Sebbene nessun cliente sia stato danneggiato, l'episodio rappresenta un importante campanello d'allarme sulla necessità di processi di revisione del codice estremamente rigorosi, specialmente quando si integrano potenti agenti AI nei tool di sviluppo.

sicurezza amazon
Haier Pet Love V40 ufficiale: robot medio gamma per chi ha animali domestici
Ted Lasso non si ferma: in arrivo altre tre stagioni?