公告 ID：2026-035-AWS
范围：AWS
内容类型：重要提示（需要注意）
发布日期：2026 年 5 月 22 日上午 9:45（太平洋夏令时）
 

描述：

Kiro CLI 是一款命令行式人工智能编码助手，可帮助开发人员与人工智能模型交互，以执行代码、管理文件和运行 shell 命令。我们发现了 CVE-2026-9255 问题，即工具授权提示缺少输入来源验证，使本地行为者可以制作通过 stdin 传送到 kiro-cli 的内容，在无需用户批准的情况下执行任意工具（包括 shell 命令）。

受影响的版本：1.28.0 之前的 kiro-cli

解决方法：

此问题已在 kiro-cli 版本 1.28.0 中予以解决。建议您升级到最新版本，并确保对任何分叉代码或派生代码进行修补，以纳入新的修复程序。

临时措施：

传送来自不可信来源的内容时，使用 --no-interactive 标志运行 kiro-cli。这会明确禁用工具审批提示，并防止将传送的输入用作确认响应。

参考：

• CVE-2026-9255

如有任何安全问题或疑虑，请发送电子邮件至 aws-security@amazon.com。