Programmeercode op een beeldscherm in een donkere werkruimte
Nieuws26 juni · 18:555 min leestijd

Lek in Amazon Q: kwaadaardige repo steelt AWS-sleutels

Een lek in Amazon Q Developer liet een kwaadaardige Git-repository ongevraagd code uitvoeren en AWS-cloudsleutels stelen. Amazon dichtte het, maar het patroon raakt elk bedrijf met AWS en een AI-assistent.

Een AI-codeerassistent die je je hele ontwikkelomgeving toevertrouwt, is precies daarom een doelwit. Onderzoekers vonden een lek in Amazon Q Developer waarmee een kwaadaardige Git-repository ongevraagd code kon uitvoeren op de machine van de ontwikkelaar, en zo AWS-cloudsleutels kon buitmaken. Amazon heeft het inmiddels gedicht, maar het patroon erachter raakt elk bedrijf dat AWS combineert met een AI-assistent.

Wat er precies misging

Het lek, geregistreerd als CVE-2026-12957 met een hoge ernstscore van 8,5, zat in de Amazon Q-extensie voor Visual Studio Code. Die laadde automatisch de configuratie van zogenoemde MCP-servers uit een bestand .amazonq/mcp.json in de werkmap. Opende een ontwikkelaar een repository met zo'n kwaadaardig bestand en zette hij Amazon Q aan, dan voerde de extensie de commando's daarin uit. Volgens beveiligingsbedrijf Wiz, dat het lek vond, gebeurde dat zonder prompt, zonder toestemming en zonder enige controle of de werkmap te vertrouwen was. Het Model Context Protocol is de standaard die AI-assistenten met je tools en data laat praten, en precies die koppeling werd hier het aanvalspad.

Van een repo naar je hele cloud

Het gevaarlijke zit in wat de uitgevoerde code erfde: alles wat in de sessie van de ontwikkelaar zat. AWS-credentials, API-sleutels, authenticatietokens, SSH-agent-sockets en andere secrets lagen daarmee binnen bereik. Wiz toonde het aan met een geprepareerde repository die bij activering meteen een AWS-commando uitvoerde met de bestaande inloggegevens van de ontwikkelaar. De ontwikkelmachine is vaak het zwakste punt van een organisatie, want juist daar liggen de sleutels naar de productieomgeving voor het oprapen.

De AWS Management Console; met gestolen cloud-credentials krijgt een aanvaller toegang tot precies dit soort beheeromgeving, Bron: Vitaly Zdanevich / Wikimedia Commons (CC0)
De AWS Management Console; met gestolen cloud-credentials krijgt een aanvaller toegang tot precies dit soort beheeromgeving, Bron: Vitaly Zdanevich / Wikimedia Commons (CC0)

Amazon heeft het gedicht

Amazon repareerde het probleem in versie 1.65.0 van de onderliggende taalserver en bedankte Wiz voor de melding. In zijn eigen beveiligingsbulletin omschrijft het bedrijf het als een onjuiste afbakening van de vertrouwensgrens, waarbij commando's in projectconfiguratiebestanden automatisch konden worden uitgevoerd. In hetzelfde bulletin staat een tweede lek, CVE-2026-12958, dat via een kwaadaardige symbolische link bestanden buiten de werkmap kon raken en pas in versie 1.69.0 volledig is gedicht. Bestaande installaties werken zichzelf automatisch bij, tenzij je die functie hebt uitgezet, dus controleer of je op de gepatchte versie zit.

Waarom dit een bedrijfsbeslissing is, geen detail

Wiz benadrukt dat dit verder reikt dan Amazon: vergelijkbare gaten in de manier waarop werkmappen worden vertrouwd, doken recent op in andere AI-codeertools, nu steeds meer assistenten via MCP lokaal commando's uitvoeren. Dat is precies het bredere patroon: elke laag van je AI-stack, van npm-pakketten tot IDE-plugins, is een actief aanvalspad geworden. Het is geen incident maar een ontwerpkeuze die je bewust moet maken: welke tools mogen automatisch iets uitvoeren, met welke sleutels, en op welke projecten.

Dezelfde les bleek al toen vijftien valse JetBrains-plugins de AI-API-sleutels van bijna 70.000 ontwikkelaars stalen: het vertrouwde gereedschap is het nieuwe doelwit, niet jouw eigen code.

Wat je nu doet

Werk Amazon Q bij naar de gepatchte versie en behandel onbekende repositories als onvertrouwd, ook als ze van een collega of klant komen. Geef je AI-codeertools niet meer rechten dan ze nodig hebben, en zorg dat er geen langlevende productiesleutels op een ontwikkelmachine rondslingeren: bescherm je AI-API-sleutels en secrets zodat tools en plugins ze niet kunnen stelen. Leg dat vast in beleid, want een AI-assistent die ongevraagd code uitvoert is geen bug die je eenmalig patcht, maar een risico dat met elke nieuwe tool terugkomt. Het gemak van een assistent die alles voor je doet, is precies het gemak waarmee een aanvaller dat ook doet.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Je AI-tooling veilig inrichten

Ik help je AI- en ontwikkeltools zo inrichten dat ze niet je hele cloud openzetten: doordachte rechten, gescheiden sleutels en automatisering die je kunt vertrouwen. Van meedenken en ontwerp tot bouwen en koppelen, end-to-end.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Microsoft: vergiftigde MCP-toolomschrijvingen kapen je AI-agent en lekken bedrijfsdata
Nieuws
5 min

30 jun 20:33

Microsoft: vergiftigde MCP-toolomschrijvingen kapen je AI-agent en lekken bedrijfsdata

Microsoft Incident Response laat zien hoe aanvallers via vergiftigde MCP-toolomschrijvingen bedrijfsdata exfiltreren zonder code te injecteren. Elke actie van de agent was legitiem. De kwetsbaarheid zit in de vertrouwensgrens tussen systemen.

Google DeepMind breidt Gemini-agents uit met achtergronduitvoering en directe MCP-koppeling
Nieuws
3 min

8 jul 18:21

Google DeepMind breidt Gemini-agents uit met achtergronduitvoering en directe MCP-koppeling

Google DeepMind breidt Managed Agents in de Gemini API uit met vier functies: achtergronduitvoering, een directe koppeling met externe MCP-servers, eigen functies en het vernieuwen van credentials. Dat maakt het bouwen van productierijpe AI-agents op Gemini eenvoudiger.

Een AI-agent die je e-mail écht afhandelt: van conceptantwoorden tot afspraken inplannen en records bijwerken
Gids
Uitgebreide gids12 min

3 jul 21:01

Een AI-agent die je e-mail écht afhandelt: van conceptantwoorden tot afspraken inplannen en records bijwerken

Je inbox is gesorteerd, maar het echte werk, antwoorden, inplannen en bijwerken, wacht nog op jou. Zo laat je een AI-agent die handeling voorbereiden, met een goedkeuringspoort precies waar het risico dat vraagt.

Kimi K2.7 Code nu kiesbaar in GitHub Copilot: eerste open-weight model in de modelkeuze
Nieuws
6 min

3 jul 04:10

Kimi K2.7 Code nu kiesbaar in GitHub Copilot: eerste open-weight model in de modelkeuze

GitHub heeft Kimi K2.7 Code algemeen beschikbaar gemaakt in de Copilot-modelkeuze. Het is het eerste open-weight model in de picker, fors goedkoper dan de frontier-modellen, en je devteam kan vandaag overstappen zonder tooling te wijzigen.

GuardFall: oeroude shell-trucs omzeilen de beveiliging van 10 van 11 open-source AI-codeeragents
Nieuws
7 min

2 jul 02:13

GuardFall: oeroude shell-trucs omzeilen de beveiliging van 10 van 11 open-source AI-codeeragents

Adversa AI testte elf populaire open-source AI-codeeragents op shell-injectie. Tien lieten zich met dertig jaar oude Bash-trucs om de tuin leiden, alleen Continue hield stand. Er is geen CVE en geen patch.

Schone GitHub-repo laat AI-coderingsagent ongemerkt malware draaien
Nieuws
5 min

27 jun 22:42

Schone GitHub-repo laat AI-coderingsagent ongemerkt malware draaien

Mozilla's 0DIN toont hoe een schijnbaar schone GitHub-repo een AI-coderingsagent als Claude Code malware laat uitvoeren, simpelweg door hem een fout te laten oplossen. Elk bedrijf dat AI-codering inzet, moet zijn beleid herzien.