เตือนภัยสาย DevSecOps – ช่องโหว่ใน Amazon Q เปิดช่องแฮกเกอร์ฝังโค้ดสั่ง AI ลบข้อมูลทั้งโปรเจกต์

เมื่อเร็ว ๆ นี้ ได้มีรายงานว่าปลั๊กอิน Amazon Q Developer Extension สำหรับ Visual Studio Code ซึ่งเป็นเครื่องมือช่วยนักพัฒนาในการเขียนโค้ดด้วย AI ถูกโจมตีผ่านช่องโหว่ในกระบวนการจัดการโค้ดบน GitHub โดยแฮกเกอร์สามารถแอบแทรก prompt อันตรายลงในโค้ดของปลั๊กอิน
คำสั่งดังกล่าวทำให้ AI ภายใน Amazon Q สามารถสร้างโค้ดที่สั่งลบข้อมูลสำคัญที่เกี่ยวข้องกับโปรเจกต์พัฒนาโค้ดของผู้ใช้ เช่น โฟลเดอร์โค้ด ไฟล์คอนฟิก และข้อมูลที่เกี่ยวข้องในเครื่องคอมพิวเตอร์หรือเครื่องบนคลาวด์ (cloud environment) ซึ่งส่งผลกระทบรุนแรงต่อนักพัฒนาและทีม DevSecOps ที่ใช้งานเครื่องมือนี้
ช่องโหว่และวิธีการโจมตี
แฮกเกอร์ใช้ช่องโหว่จากกระบวนการจัดการ pull request บน GitHub ที่เปิดโอกาสให้ผู้ไม่หวังดีสามารถส่งโค้ดเข้ามาใน repository ของ Amazon Q ได้โดยไม่ได้รับการตรวจสอบอย่างเข้มงวด โดยแอบฝังคำสั่ง prompt ที่สั่งให้ AI ลบไฟล์และโฟลเดอร์สำคัญในระบบโดยอัตโนมัติ
คำสั่งที่ฝังนี้ไม่ได้จำกัดเพียงการลบไฟล์โค้ดเท่านั้น แต่ยังครอบคลุมการลบข้อมูลในหลายโฟลเดอร์สำคัญในระบบ เช่น โฟลเดอร์ home, bin, opt รวมถึงการเรียกใช้คำสั่ง AWS CLI ที่อาจสั่งลบข้อมูลในคลาวด์ เช่น S3 bucket หรือหยุดการทำงานของ EC2 instance ได้
ผลกระทบต่อผู้ใช้งาน
ถึงแม้ว่าเวอร์ชัน 1.84 ที่มีช่องโหว่นี้จะถูกปล่อยออกมาในวันที่ 17 กรกฎาคม 2025 และพบว่ามีข้อผิดพลาดที่ทำให้ปลั๊กอินไม่สามารถทำงานได้อย่างสมบูรณ์ จึงยังไม่มีรายงานว่าผู้ใช้งานได้รับผลกระทบโดยตรงในวงกว้าง แต่กรณีนี้ยังคงถือเป็นภัยคุกคามที่ร้ายแรงและเป็นตัวอย่างของช่องโหว่ในซัพพลายเชน (Supply Chain Attack) ที่สามารถสร้างความเสียหายได้มากหากถูกนำไปใช้งานจริง
นักพัฒนาซอฟต์แวร์และทีม DevSecOps จึงต้องตระหนักถึงความเสี่ยงนี้และเพิ่มความเข้มงวดในการตรวจสอบโค้ดที่ใช้งานโดยเฉพาะในเครื่องมือ AI coding assistant ที่เริ่มเข้ามามีบทบาทมากขึ้นในกระบวนการพัฒนา
มีแพตช์แก้ไขแล้ว อัปเดตด่วน
หลังจากได้รับรายงานเกี่ยวกับช่องโหว่นี้ AWS ได้ดำเนินการแก้ไขอย่างรวดเร็วโดยปล่อยเวอร์ชัน 1.85 ของ Amazon Q Developer Extension ที่ปลอดภัยกว่าเดิม และแนะนำให้ผู้ใช้งานทุกคนทำการอัปเดตปลั๊กอินทันทีเพื่อป้องกันความเสี่ยงจากโค้ดอันตราย
นอกจากนี้ AWS ยังได้ปรับกระบวนการตรวจสอบการส่งโค้ดและการให้สิทธิ์ผู้ร่วมพัฒนา (contributor) อย่างเข้มงวดมากขึ้น เพื่อลดโอกาสที่ช่องโหว่ประเภทนี้จะเกิดขึ้นอีกในอนาคต