Amazon облажалась с ИИ-помощником для кода: хакер внедрил вредоносный код
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
В расширение Amazon Q Developer Extension для Visual Studio Code (VSC) — популярный бесплатный инструмент с почти миллионом скачиваний, который помогает программистам писать, отлаживать и документировать код, — внедрили вредоносный код. На GitHub неизвестный под ником 'lkmanka58' 13 июля 2025 года внёс изменения, позволявшие удалять данные как на локальном компьютере, так и в облаке. Amazon, не заметив подвоха, 17 июля выложила обновлённую версию (1.84.0).
Подозрительная активность обнаружилась 23 июля — после этого разработчики Amazon в срочном порядке выпустили «чистую» версию 1.85.0 уже 24 июля, а заражённую версию убрали из всех каналов распространения. Всем пользователям советуют срочно обновиться.
Компания утверждает: по счастливой случайности вредоносный код был написан криво и не запускался у пользователей. Однако некоторые исследователи оспаривают это, утверждая, что код всё же выполнялся, хоть и не успел навредить. В любом случае, 1.84.0 полностью удалили.
Пользователи выразили беспокойство, что такой опасный кусок кода проскочил через проверки Amazon, и возмущаются в интернете: почему компания тихо редактировала историю изменений и не спешила раскрывать инцидент. Стоит отметить: подобные ситуации — не редкость. Например, исследование 2024 года показало, что почти 6% всех расширений для VS Code содержат сомнительные элементы: подозрительные сетевые запросы, завышенные права или запутанный код.
Разработчикам стоит помнить: доверять расширениям и ИИ-помощникам на все сто — плохая идея. Тем более, если даже такие гиганты, как Amazon, пребывают в счастливой неведении.
Amazon опять наступила на грабли там, где меньше всего ждали — в искусственном интеллекте и кодерских инструментах. Миллион пользователей могли испытать в лучшем случае лёгкую панику, а в худшем — потерять важные данные, ведь вредонос в расширении для Visual Studio Code собирался стирать всё подряд и на локальном компьютере, и в облаке. Интересный коммит появился 13 июля на GitHub: некий 'lkmanka58' (очевидно, не консультант Amazon) внедрил ‘шутку’ — и версия 1.84.0 оказалась в рабочих руках. Amazon без лишнего шума отправила это обновление на миллион машин.
Рутиной недели стало экстренное удаление зловреда, срочный выпуск новой версии, тихая правка git-истории и публичные заверения: всё хорошо, ничего не работало. Но независимые эксперты намекнули: кое-где вредонос смог исполниться, но большого вреда не принёс. Картину дополнили пользователи Reddit, которые обвинили Amazon в нежелании раскрывать детали и вообще — в излишней творческой обработке истории изменений. Казалось бы, гигант мирового ИТ.
Особенный драматизм ситуации придаёт статистика: из десятков тысяч расширений для VS Code почти 6% — со скрытыми или подозрительными функциями. Радоваться нечему, когда даже многомиллиардные корпорации не могут удержать волну халтуры. Урок явно банален: не бывает цифровых гарантий, когда дело касается ИИ и кодогенерации, а коммитить вредоносное — стало проще, чем заварить кофе.