据媒体报道，一名黑客成功向亚马逊AI编程助手Q的某个版本植入了破坏性系统指令，这些代码随后通过官方更新分发给用户。未经授权的代码指示该AI代理以系统清理程序模式运行，获取文件系统和云工具访问权限，意图删除用户数据和云资源。

入侵者向404 Media透露，本可部署更具破坏性的有效载荷，但最终选择以指令形式实施抗议，矛头直指亚马逊所谓的"AI安全表演"。攻击者瞄准了亚马逊Q的Visual Studio Code扩展——这款开发者工具安装量已超95万次。攻击者通过未经验证的GitHub账户在6月下旬提交拉取请求，据称获得了管理员权限。

7月13日，恶意代码被植入代码库。亚马逊于7月17日发布了受污染的1.84.0版本，据报告当时尚未察觉篡改行为。

AWS发言人声明："我们迅速遏制了利用两个开源代码库已知漏洞修改VS Code版Amazon Q开发者扩展代码的企图，确认未影响客户资源。两个代码库的问题均已彻底解决，使用AWS SDK for .NET或VS Code版AWS工具包的客户无需额外操作。作为附加预防措施，客户可运行最新发布的VS Code版Amazon Q开发者扩展1.85版本。"

该事件凸显了业界对生成式AI工具及其开发环境集成安全性的日益担忧。网络安全专家Sunil Varkey指出："虽然这可能是为警示相关风险，但事件揭示了AI生态系统中日益严峻的威胁：在缺乏有效防护、持续监控和治理框架的情况下，恶意分子对强大AI工具的利用。当代码助手等AI系统遭入侵，将产生双重威胁：攻击者可向软件供应链注入恶意代码，用户则在不知情的情况下继承漏洞或后门。"

IDC亚太区网络安全服务高级研究经理Sakshi Grover认为，事件同时暴露了企业级AI开发工具集成开源代码的固有风险，特别是在贡献流程缺乏安全治理时。"这也表明当企业依赖未经严格审查的开源贡献时，AI开发中的供应链风险会被放大。本案中，攻击者利用GitHub工作流注入恶意系统提示，在运行时重新定义了AI代理的行为。"

分析师指出，该事件反映出软件交付管道安全防护的普遍失效，特别是投产代码的验证与监督环节。对企业团队而言，这凸显了将AI专属威胁建模纳入DevSecOps实践的必要性，以应对模型漂移、提示注入和语义操纵等风险。

Grover建议："企业应采用具备哈希验证的不可变发布管道，在CI/CD工作流中集成异常检测机制以尽早发现未授权变更。此外，建立透明及时的事件响应机制（包括预防性移除）对赢得开发者社区信任至关重要，特别是在AI代理日益以系统级自治运行的背景下。"

值得注意的是，此次入侵表明即便大型云服务商，其AI开发工具的DevSecOps成熟度也显滞后。Confidis创始人兼CEO Keith Prabhu表示："开发环境中AI应用的神速发展让DevSecOps疲于追赶。从亚马逊官方回应可知，企业安全团队应建立能快速识别此类安全漏洞并与受影响方沟通的治理审查机制。"

CyberMedia Research行业研究副总裁Prabhu Ram提出防御建议：实施严格代码审查流程、持续监控工具行为、执行最小权限访问控制、要求供应商保持透明度。"这些措施有助于应对复杂软件供应链安全保障和开发生命周期全程安全嵌入的持续挑战。最终，提升DevSecOps成熟度与构建分层防护对有效管理当今软件生态系统中不断演变的威胁至关重要。"