أعلنت شركة Wiz عن رصد ثغرة شديدة الخطورة في ملحق Amazon Q Developer المخصص لبيئة Visual Studio Code، تمكن المهاجمين من تشغيل أوامر برمجية على أنظمة المطورين واختراق بيانات الاعتماد السحابية بمجرد فتح مستودعات برمجية خبيثة. من جانبها، أكدت AWS معالجة هذا الخلل عبر إطلاق تحديثات للملحقات المتضررة، وإصدار إرشادات أمنية مخصصة للمستخدمين.
وتوضح التقارير التقنية أن الخلل يكمن في المعالجة التلقائية التي تجريها الأداة لملفات التهيئة ضمن مساحة العمل؛ حيث تسببت هذه الآلية في تحميل إعدادات ضارة وتنفيذ أوامر مخفية في خلفية بيئة التطوير. ونتيجة لذلك، حازت الأوامر المنفذة على صلاحيات الوصول إلى متغيرات البيئة والجلسات الفعالة، والتي تتضمن مفاتيح الولوج والرموز الرقمية الخاصة بالخدمات السحابية وواجهات برمجة التطبيقات.
وأشارت Wiz إلى أن طرق الاستغلال المحتملة قد تتخذ شكل مستودعات وهمية مخصصة لاختبارات التوظيف، أو حزم برمجية مزيفة تنتحل هويات شائعة، أو طلبات دمج خبيثة موجهة للمشاريع مفتوحة المصدر. واستعرضت الشركة نموذجاً لإثبات المفهوم أظهر إمكانية الاستيلاء على جلسة AWS نشطة من نظام المطور بمجرد فتح المستودع وتشغيل الأداة داخل بيئة VS Code.
وبحسب النشرة الأمنية الصادرة عن AWS يوم الاثنين 23 يونيو 2026، يحمل الخللان المعرفين (CVE-2026-12957 بتقييم CVSS عند 7.8) و(CVE-2026-12958 بتقييم CVSS عند 7.8)، ويستهدفان خوادم اللغات التي تسبق الإصدار 1.69.0، بالإضافة إلى إضافات Amazon Q Developer لبيئات VS Code وJetBrains وEclipse وVisual Studio. وقد حثت الشركة المستخدمين على الترقية فوراً إلى النسخ الأحدث، مؤكدة تضمين الإصلاحات الأمنية في التحديثات الجديدة للملحقات وخادم اللغات.
أكدت AWS معالجة كلا الثغرتين بشكل كامل في الإصدار 1.69.0، ونوهت بأن هذه التحديثات تثبت تلقائياً لدى غالبية المستخدمين، شريطة ألا تحول إعدادات الشبكة الخاصة بالعميل دون ذلك.
وتكمن أهمية هذه الواقعة في تسليطها الضوء على نمط أوسع من المخاطر في أدوات البرمجة المدعومة بالذكاء الاصطناعي؛ إذ يمكن لملفات التهيئة داخل المستودعات البرمجية أن تتحول إلى نقطة عبور تربط بيئة التطوير المحلية بالمواصفات والموارد السحابية المتصلة بها، لا سيما عندما تمنح الأدوات صلاحيات تشغيل تلقائي مستقلة ضمن مساحة العمل.
