SEATTLE / LONDON (IT BOLTWISE) – Eine kürzlich entdeckte Sicherheitslücke bei Amazons KI-Coding-Assistent ‘Q’ hat die Tech-Welt erschüttert. Ein Hacker nutzte eine Schwachstelle in den Sicherheitsprotokollen von Amazon aus, um bösartige Befehle in ein öffentlich veröffentlichtes Update einzuschleusen.
Die Sicherheitslücke, die von 404 Media aufgedeckt wurde, zeigt, wie ein Hacker über ein temporäres GitHub-Konto eine Pull-Anfrage einreichte, die ihm administrative Zugriffsrechte gewährte. In diesem unautorisierten Update wurden zerstörerische Anweisungen eingebettet, die den KI-Assistenten dazu veranlassten, potenziell Benutzerdateien zu löschen und Amazon Web Services (AWS)-Umgebungen zu säubern.
Obwohl die Schwere dieser Befehle offensichtlich war, wurde die kompromittierte Version von Amazon ohne Erkennung zusammengeführt und veröffentlicht. Die Anweisungen sollten auch die Aktionen in einer Datei namens /tmp/CLEANER.LOG protokollieren. Später entfernte das Unternehmen das fehlerhafte Update aus seinen Aufzeichnungen, ohne eine öffentliche Ankündigung zu machen, was Fragen zur Transparenz aufwirft.
Corey Quinn, Chief Cloud Economist bei The Duckbill Group, äußerte Skepsis gegenüber Amazons Aussage, dass „Sicherheit unsere oberste Priorität ist“, angesichts dieses Vorfalls. „Wenn das so aussieht, wenn Sicherheit die oberste Priorität ist, kann ich kaum erwarten, was passiert, wenn sie an zweiter Stelle steht“, schrieb Quinn in einem Beitrag auf LinkedIn.
Der Kern des Problems liegt darin, wie der Hacker eine Open-Source-Pull-Anfrage manipulierte. Dadurch konnte er Befehle in Amazons Q-Coding-Assistenten injizieren. Während diese Anweisungen ohne direkte Benutzerinteraktion wahrscheinlich nicht automatisch ausgeführt wurden, zeigte der Vorfall kritisch auf, wie KI-Agenten zu stillen Trägern für Angriffe auf Systemebene werden können.
In Reaktion auf solche Schwachstellen hat Jozu ein neues Tool namens „PromptKit“ veröffentlicht. Dieses System, das über einen einzigen Befehl zugänglich ist, bietet einen lokalen Reverse-Proxy, um OpenAI-kompatiblen Datenverkehr aufzuzeichnen und eine Befehlszeilenschnittstelle (CLI) sowie eine textbasierte Benutzeroberfläche (TUI) zum Erkunden, Taggen, Vergleichen und Veröffentlichen von Prompts bereitzustellen.
Jozu kündigte auf X.com an, dass PromptKit ein lokal-zuerst, Open-Source-Tool ist, das eine auditierbare und produktsichere Prompt-Verwaltung bietet und ein systemisches Risiko adressiert, da die Abhängigkeit von generativer KI wächst. Görkem Ercan, CTO von Jozu, erklärte gegenüber Hackread.com, dass PromptKit entwickelt wurde, um die Lücke zwischen Prompt-Experimenten und -Bereitstellung zu schließen. Es etabliert einen richtliniengesteuerten Workflow, der sicherstellt, dass nur verifizierte und auditierte Prompt-Artefakte, im Gegensatz zu dem rohen, nicht verifizierten Text, der AWS beeinträchtigte, in die Produktion gelangen.
Ercan betonte weiter, dass dieses Tool den fehlgeschlagenen menschlichen Verifizierungsprozess durch einen strengen, richtlinien- und signaturbasierten Workflow ersetzt hätte, der die böswillige Absicht effektiv abgefangen hätte, bevor sie live ging.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Teamleiter Beratung - KI und Prozessoptimierung (m/w/d)
Werkstudent Junior Ki & IT Experte (m/w/d)
Spezialist / (Senior) Manager (m/w/d) Outsourcing und Third Party Risk Management mit Schwerpunkt IT / Cloud / KI
Dozent Tourismusmanagement Tech und KI (m/w/d)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Sicherheitslücke bei Amazon: Hacker manipuliert KI-Assistenten" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Sicherheitslücke bei Amazon: Hacker manipuliert KI-Assistenten" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die Google-Suchmaschine für eine weitere Themenrecherche: »Sicherheitslücke bei Amazon: Hacker manipuliert KI-Assistenten« bei Google Deutschland suchen, bei Bing oder Google News!