Kembali ke ShazfaTech Lihat Semua Artikel
Tools Cyber Security
Cacat Pengembang Amazon Q Dapat Membiarkan Repo Berbahaya Menjalankan Kode melalui Konfigurasi MCP
thehackernews. com 27 Juni 2026 PT Shazfatech Digital Solution

Cacat Pengembang Amazon Q Dapat Membiarkan Repo Berbahaya Menjalankan Kode melalui Konfigurasi MCP

Cacat dengan tingkat keparahan tinggi di Amazon Q Developer memungkinkan repositori berbahaya menjalankan perintah dan mencuri kredensial cloud pengembang.

2 menit baca Tools Cyber Security 1 kali dibaca

Sumber: thehackernews. com

Insight ini dipublikasikan oleh PT Shazfatech Digital Solution dengan brand ShazfaTech. Sumber asli tetap dicantumkan agar pembaca dapat menelusuri referensi utama dan konteks artikel secara lebih utuh.

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Cacat dengan tingkat keparahan tinggi di Amazon Q Developer memungkinkan repositori berbahaya menjalankan perintah dan mencuri kredensial cloud pengembang.

Cacat dengan tingkat keparahan tinggi di Amazon Q Developer memungkinkan repositori berbahaya menjalankan perintah dan mencuri kredensial cloud pengembang. Jalurnya singkat: pengembang membuka repo, memercayai ruang kerja, dan Amazon Q melakukan sisanya. Amazon telah menambalnya.

Bacaan Lanjutan Seputar Tools Cyber Security

Jika Anda ingin memperdalam topik ini, beberapa artikel berikut masih berada dalam konteks yang berhubungan dan layak dibaca setelah artikel ini.

Amazon Q membaca file konfigurasi MCP, .amazonq/mcp. json, dari ruang kerja terbuka dan meluncurkan server yang ditentukannya. Server MCP adalah proses lokal yang dapat dihasilkan oleh asisten AI untuk menjangkau database, API, atau alat pembangunan, jadi memulainya berarti menjalankan perintah pada mesin.

Gabungkan keduanya, dan file yang berada di repo kloning dapat menjalankan kode arbitrer dengan sesi cloud langsung pengembang terpasang. Tanpa kata sandi, tidak ada proses masuk kedua.

Wiz melaporkan tidak ada langkah persetujuan terpisah untuk server MCP itu sendiri sebelum perbaikan. Patch ini menutup celah tersebut: Amazon Q sekarang menandai server MCP yang tidak tepercaya dan memungkinkan pengembang menolak perintah sebelum dijalankan.

Amazon Q bukanlah asisten pengkodean pertama yang melanggar kepercayaan MCP. Bugnya tidak sama, tetapi sama: konfigurasi proyek berubah menjadi perilaku yang dapat dieksekusi, dan pemeriksaan kepercayaan di sekitar handoff tersebut terus gagal.

Claude Code (CVE-2025-59536) dan Cursor (CVE-2025-54136) keduanya memiliki konfigurasi MCP tingkat proyek yang mengarah pada eksekusi perintah. Windsurf (CVE-2026-30615) mencapai tujuan yang sama melalui jalur yang berbeda, dengan konten yang dikendalikan penyerang menulis ulang konfigurasi MCP lokal untuk mendaftarkan server jahat.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com

Lihat Semua Artikel Tentang Redaksi Kebijakan Editorial Profil Publisher Kontak Privasi

Topik yang Berhubungan

Lihat Semua Artikel

Yang Paling Sering Dibaca

Lihat Semua Artikel