【訳】

ハッカーがAmazonのQ AIコーディングアシスタントに悪意のある「データ消去」コマンドを埋め込み - 開発者が懸念を表明

Qがこの操作を実行していれば、ローカルファイルが削除され、特定の条件下ではAWSクラウドインフラストラクチャが分解されていた可能性があります

【要約】

　AmazonのAIコーディングアシスタント「Q」に、ハッカーがローカルファイルやAWSクラウド資産を消去するコマンドを埋め込んだ問題は、開発者コミュニティに大きな衝撃を与えました。侵害されたQのバージョンは、GitHubでのプルリクエストを通じて悪意あるコードが混入し、そのまま7月初旬にリリースされていました。

　もしコマンドが実行されていれば、条件次第でユーザーのローカル環境やAWSクラウドリソースが消去される危険がありました。Amazonは問題発覚後に速やかに対応し、該当バージョンを削除・修正しましたが、影響範囲や経緯についての十分な説明やCVEの発行がなく、透明性不足が批判されています。

　今回の事例は、AIツールのセキュリティ検証の難しさと、オープンソース環境でも十分なレビューがなければ脆弱だという教訓を浮き彫りにしています。今後、AI開発ツール利用時のリスク認識と、ベンダー側の透明なインシデント対応が一層求められます。

【ニュース】

◆Hacker slips malicious 'wiping' command into Amazon's Q AI coding assistant - and devs are worried (ZDNet, 2025/07/24)
[ハッカーがAmazonのQ AIコーディングアシスタントに悪意のある「データ消去」コマンドを埋め込み - 開発者が懸念を表明]

Had Q executed this, it would have erased local files and, under certain conditions, dismantled AWS cloud infrastructure.
[Qがこの操作を実行していれば、ローカルファイルが削除され、特定の条件下ではAWSクラウドインフラストラクチャが分解されていた可能性があります]

https://www.zdnet.com/article/hacker-slips-malicious-wiping-command-into-amazons-q-ai-coding-assistant-and-devs-are-worried/