Une faille de sécurité critique a été identifiée dans Amazon Q, l’assistant de programmation dopé à l’IA d’Amazon, permettant le vol d’accès au cloud par la simple ouverture d’un projet.
Amazon Q, conçu pour s’intégrer à Visual Studio Code, est un outil d’aide à la rédaction et à la correction de code pour les développeurs. Cette vulnérabilité, qualifiée d’embarrassante par certains experts, met en lumière les risques potentiels liés à l’intégration d’outils IA dans des environnements de développement sensibles.
Des chercheurs de Wiz, une entreprise spécialisée dans la sécurité du cloud, ont mis en évidence que l’assistant exécutait des commandes cachées dès l’ouverture d’un projet. Ce mécanisme aurait pu permettre à des acteurs malveillants de dérober des identifiants d’accès au cloud, compromettant ainsi des environnements de développement entiers.
La découverte de Wiz souligne l’importance d’une vigilance constante quant à la sécurité des outils d’intelligence artificielle, même ceux provenant de grands fournisseurs. Elle pose la question de la confiance accordée aux assistants de code qui opèrent avec des privilèges élevés dans les flux de travail des développeurs.
La résolution de cette faille par Amazon est un rappel de la complexité croissante de la sécurisation des écosystèmes de développement modernes.
Source : Korben