حمله سایبری به Amazon Q: چگونه یک هکر امنیت هوش مصنوعی آمازون را به چالش کشید؟
حمله سایبری به Amazon Q: چگونه یک هکر امنیت هوش مصنوعی آمازون را به چالش کشید؟
Amazon Q، دستیار هوش مصنوعی برنامهنویسی آمازون و افزونهای برای Visual Studio Code، یکی از ابزارهای کلیدی برای توسعهدهندگان در پلتفرم ابری AWS محسوب میشود. این ابزار که هماکنون بیش از یک میلیون کاربر دارد، در معرض یک دستکاری مخرب قرار گرفت.
نفوذ از طریق گیتهاب و تزریق کد مخرب
بررسیها نشان میدهد که یک هکر با نام مستعار «lkmanka58» از طریق پلتفرم GitHub به کد منبع Amazon Q دسترسی یافته، کد مخربی را به آن تزریق کرده و نسخه آلوده را مجدداً در مخزن بارگذاری کرده است.
شرکت آمازون در واکنش سریع، نسخه ۱.۸۴ این ابزار را که در ۱۴ ژوئیه منتشر شده بود، بهصورت مستقیم برای کاربران ارسال کرد. با این حال، پس از شناسایی مشکل، این نسخه از فروشگاه Visual Studio Code حذف شد.
انتقادها به آمازون: عدم شفافیت و ضعف امنیتی
این حادثه با واکنش تند کارشناسان امنیتی و توسعهدهندگان مواجه شد. بسیاری از متخصصان، عدم شفافیت آمازون در افشای جزئیات حمله و تأخیر در اطلاعرسانی را مورد انتقاد قرار دادند.
هکر عامل این حمله نیز در اظهارنظری تند، سیاستهای امنیتی آمازون را «تئاتر امنیتی» خواند و ادعا کرد که اقدامات این شرکت بیشتر ظاهری است تا کاربردی. وی تأکید کرد که کد مخرب طراحیشده صرفاً برای ارسال هشدار به شرکت و کاربران بوده و قابلیت حذف دادههای کاربران را داشته است، اما در عمل بیاثر مانده است.
هشدار کارشناسان: لزوم بازنگری در مکانیزمهای امنیتی
استفن وان نیکولز، متخصص امنیت سایبری و سردبیر ZDNet، با تأیید دیدگاه هکر، این حمله را هشدار جدی برای آمازون دانست. وی خاطرنشان کرد که این شرکت باید فرآیندهای بررسی کدهای متنباز خود را اصلاح کند تا از وقوع چنین حوادثی در آینده جلوگیری شود.
واکنش آمازون: تأکید بر امنیت کاربران
آمازون در بیانیهای رسمی اعلام کرد که امنیت کاربران اولویت اصلی این شرکت است و از تمام کاربران خواست تا به نسخه ۱.۸۵ بازگردند. این شرکت همچنین تأکید کرد که هیچ داده کاربری در این حادثه آسیب ندیده است.
با این حال، این رویداد بار دیگر چالشهای امنیتی ابزارهای مبتنی بر هوش مصنوعی را برجسته کرده و لزوم اعمال استانداردهای سختگیرانهتر در توسعه این فناوریها را یادآور شده است.
