Hacker heeft een prompt toegevoegd aan Amazon Q om bestanden en cloudgegevens te wissen

Onlangs is er een beveiligingslek aan het licht gekomen in de AI-codeerassistent 'Q' van Amazon, geïntegreerd met VS Code. Het incident, gemeld door 404 Media, bracht een tekortkoming in de beveiligingsprotocollen van Amazon aan het licht, waardoor een hacker kwaadaardige commando's in een openbaar uitgebrachte update kon invoeren.
De hacker slaagde erin om met een tijdelijk GitHub-account een pull request in te dienen die hem beheerdersrechten verleende. In deze ongeautoriseerde update waren destructieve instructies verwerkt die de AI-assistent opdracht gaven om mogelijk gebruikersbestanden te verwijderen en Amazon Web Services (AWS)-omgevingen volledig te wissen.
Ondanks de ernst van deze opdrachten, die ook bedoeld waren om de acties vast te leggen in een bestand met de naam /tmp/CLEANER.LOG, heeft Amazon naar verluidt de gecompromitteerde versie samengevoegd en vrijgegeven zonder dat dit werd opgemerkt.
Het bedrijf verwijderde de gebrekkige update later zonder enige openbare aankondiging uit zijn administratie, wat vragen opriep over de transparantie. Corey Quinn, Chief Cloud Economist bij The Duckbill Group, uitte zijn scepsis over Amazons verklaring "beveiliging is onze topprioriteit" in het licht van deze gebeurtenis.
"Als dit het geval is als veiligheid de hoogste prioriteit is, kan ik niet wachten om te zien wat er gebeurt als het op de tweede plaats komt", schreef Quinn in zijn bericht op LinkedIn.
De kern van het probleem ligt in hoe de hacker een open-source pull request heeft gemanipuleerd. Zo slaagden ze erin commando's in de Q-codeerassistent van Amazon te injecteren. Hoewel het onwaarschijnlijk was dat deze instructies automatisch zouden worden uitgevoerd zonder directe gebruikersinteractie, legde het incident op cruciale wijze bloot hoe AI-agenten stille dragers kunnen worden van aanvallen op systeemniveau.
Het bracht een lacune aan het licht in het verificatieproces voor code die geïntegreerd is in productiesystemen, met name voor AI-gestuurde tools. De schadelijke code was bedoeld om de mogelijkheden van AI te misbruiken om destructieve acties uit te voeren op het systeem en de cloudbronnen van een gebruiker.
Het incident met Amazon Q van gisteren was een wake-upcall over hoe AI-agents kunnen worden aangevallen. PromptKit probeert soortgelijke problemen op te lossen en te voorkomen dat ze zich opnieuw voordoen.
Lees het volledige bericht👇 https://t.co/atOWfilWFq
Als reactie op dergelijke kwetsbaarheden heeft Jozu een nieuwe tool uitgebracht genaamd "PromptKit". Dit systeem, toegankelijk via één commando, biedt een lokale reverse proxy om OpenAI-compatibel verkeer vast te leggen en biedt een command-line interface (CLI) en een tekstgebaseerde gebruikersinterface (TUI) voor het verkennen, taggen, vergelijken en publiceren van prompts.
Jozu kondigde op X.com aan dat PromptKit een lokaal-eerste, open-sourcetool is die controleerbaar en productieveilig promptbeheer biedt en daarmee een systematisch risico aanpakt dat voortkomt uit de toenemende afhankelijkheid van generatieve AI.
Vandaag brengen we een eerste versie van Jozu PromptKit uit → een lokale tool voor het vastleggen, beoordelen en beheren van LLM-promptinteracties. Het zorgt voor beleidgestuurde workflows voor geverifieerde, controleerbare promptartefacten in productie.
Gratis te proberen en open source. pic.twitter.com/0Up4mc1Vy9
— Jozu (@Jozu_AI) 24 juli 2025
Görkem Ercan, CTO van Jozu, vertelde Hackread.com dat PromptKit is ontworpen om de kloof tussen snelle experimenten en implementatie te overbruggen. Het creëert een beleidgestuurde workflow, waardoor alleen geverifieerde en gecontroleerde prompt-artefacten, in tegenstelling tot de ruwe, ongeverifieerde tekst die AWS beïnvloedde, de productie bereiken.
Ercan benadrukte verder dat deze tool het falende menselijke verificatieproces zou hebben vervangen door een strikte workflow op basis van beleid en ondertekening, waardoor kwaadwillende intenties effectief zouden worden onderschept voordat deze in gebruik werd genomen.
HackRead