公告 ID：2026-035-AWS
範圍：AWS
內容類型：重要 (需要注意)
發布日期：2026 年 5 月 22 日上午 9:45 (太平洋夏令時間)
 

描述：

Kiro CLI 是一個命令列 AI 程式設計輔助工具，可讓開發人員與 AI 模型互動，以執行程式碼、管理檔案及執行 shell 命令。我們發現了 CVE-2026-9255，此問題在於工具授權提示中缺少輸入來源驗證，本機攻擊者可藉由精心構造並透過 stdin 管道傳送至 kiro-cli 的內容，在未獲使用者同意的情況下執行任意工具 (包含 shell 命令)。

受影響版本：1.28.0 之前的 kiro-cli

解決方案：

此問題已在 kiro-cli 版本 1.28.0 中得到解決。建議您升級至最新版本，並確保所有分支或衍生程式碼皆已套用修補程式，以納入最新修正。

變通方法：

當從不受信任的來源以管道傳遞內容時，請使用 --no-interactive 標誌來執行 kiro-cli。這會明確停用工具核准提示，並防止管道輸入被當作確認回應來使用。

參考資料：

• CVE-2026-9255

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。