Een AI-codeerassistent die je je hele ontwikkelomgeving toevertrouwt, is precies daarom een doelwit. Onderzoekers vonden een lek in Amazon Q Developer waarmee een kwaadaardige Git-repository ongevraagd code kon uitvoeren op de machine van de ontwikkelaar, en zo AWS-cloudsleutels kon buitmaken. Amazon heeft het inmiddels gedicht, maar het patroon erachter raakt elk bedrijf dat AWS combineert met een AI-assistent.
Wat er precies misging
Het lek, geregistreerd als CVE-2026-12957 met een hoge ernstscore van 8,5, zat in de Amazon Q-extensie voor Visual Studio Code. Die laadde automatisch de configuratie van zogenoemde MCP-servers uit een bestand .amazonq/mcp.json in de werkmap. Opende een ontwikkelaar een repository met zo'n kwaadaardig bestand en zette hij Amazon Q aan, dan voerde de extensie de commando's daarin uit. Volgens beveiligingsbedrijf Wiz, dat het lek vond, gebeurde dat zonder prompt, zonder toestemming en zonder enige controle of de werkmap te vertrouwen was. Het Model Context Protocol is de standaard die AI-assistenten met je tools en data laat praten, en precies die koppeling werd hier het aanvalspad.
Van een repo naar je hele cloud
Het gevaarlijke zit in wat de uitgevoerde code erfde: alles wat in de sessie van de ontwikkelaar zat. AWS-credentials, API-sleutels, authenticatietokens, SSH-agent-sockets en andere secrets lagen daarmee binnen bereik. Wiz toonde het aan met een geprepareerde repository die bij activering meteen een AWS-commando uitvoerde met de bestaande inloggegevens van de ontwikkelaar. De ontwikkelmachine is vaak het zwakste punt van een organisatie, want juist daar liggen de sleutels naar de productieomgeving voor het oprapen.

Amazon heeft het gedicht
Amazon repareerde het probleem in versie 1.65.0 van de onderliggende taalserver en bedankte Wiz voor de melding. In zijn eigen beveiligingsbulletin omschrijft het bedrijf het als een onjuiste afbakening van de vertrouwensgrens, waarbij commando's in projectconfiguratiebestanden automatisch konden worden uitgevoerd. In hetzelfde bulletin staat een tweede lek, CVE-2026-12958, dat via een kwaadaardige symbolische link bestanden buiten de werkmap kon raken en pas in versie 1.69.0 volledig is gedicht. Bestaande installaties werken zichzelf automatisch bij, tenzij je die functie hebt uitgezet, dus controleer of je op de gepatchte versie zit.
Waarom dit een bedrijfsbeslissing is, geen detail
Wiz benadrukt dat dit verder reikt dan Amazon: vergelijkbare gaten in de manier waarop werkmappen worden vertrouwd, doken recent op in andere AI-codeertools, nu steeds meer assistenten via MCP lokaal commando's uitvoeren. Dat is precies het bredere patroon: elke laag van je AI-stack, van npm-pakketten tot IDE-plugins, is een actief aanvalspad geworden. Het is geen incident maar een ontwerpkeuze die je bewust moet maken: welke tools mogen automatisch iets uitvoeren, met welke sleutels, en op welke projecten.
Dezelfde les bleek al toen vijftien valse JetBrains-plugins de AI-API-sleutels van bijna 70.000 ontwikkelaars stalen: het vertrouwde gereedschap is het nieuwe doelwit, niet jouw eigen code.
Wat je nu doet
Werk Amazon Q bij naar de gepatchte versie en behandel onbekende repositories als onvertrouwd, ook als ze van een collega of klant komen. Geef je AI-codeertools niet meer rechten dan ze nodig hebben, en zorg dat er geen langlevende productiesleutels op een ontwikkelmachine rondslingeren: bescherm je AI-API-sleutels en secrets zodat tools en plugins ze niet kunnen stelen. Leg dat vast in beleid, want een AI-assistent die ongevraagd code uitvoert is geen bug die je eenmalig patcht, maar een risico dat met elke nieuwe tool terugkomt. Het gemak van een assistent die alles voor je doet, is precies het gemak waarmee een aanvaller dat ook doet.
Veelgestelde vragen
Je AI-tooling veilig inrichten
Ik help je AI- en ontwikkeltools zo inrichten dat ze niet je hele cloud openzetten: doordachte rechten, gescheiden sleutels en automatisering die je kunt vertrouwen. Van meedenken en ontwerp tot bouwen en koppelen, end-to-end.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
