範圍：AWS
內容類型：重要 (需要注意)
發布日期：2025 年 7 月 23 日晚上 6:00 (太平洋夏令時間)
更新日期：2025 年 7 月 25 日晚上 6:00 (太平洋夏令時間)

描述：

適用於 Visual Studio Code (VS Code) 的 Amazon Q Developer 擴充功能為一項開發工具，可將 Amazon Q 的 AI 輔助編碼功能直接整合至 VS Code 整合式開發環境 (IDE) 中。

AWS 已知悉並處理了適用於 VS Code 的 Amazon Q Developer 擴充功能中的一項問題，並將其指派為 CVE-2025-8217。

在我們調查 AWS-2025-016 的過程中，發現在適用於 VS Code 的 Amazon Q Developer 擴充功能的 CodeBuild 組態中，存在範圍設定不當的 GitHub 權杖。攻擊者利用該存取權杖，得以將惡意程式碼提交至此擴充功能的開放原始碼存放庫，並自動納入發行版本。發現此問題後，我們已立即撤銷並替換該憑證、從程式碼庫中移除惡意程式碼，並隨後釋出了適用於 VS Code 的 Amazon Q Developer 擴充功能 1.85.0 版。

AWS 安全團隊已檢視該程式碼，並判定惡意程式碼雖已隨擴充功能一起散布，但因語法錯誤而未能成功執行。此錯誤使惡意程式碼無法對任何服務或客戶環境做出變更。

若有更多資訊，我們將會更新此佈告欄。

受影響的版本：

適用於 Visual Studio Code 的 Amazon Q Developer 擴充功能 (1.84.0 版)

解決方案：

AWS 已採取所有必要的緩解措施來保護 AWS 系統，並已釋出適用於 VS Code 的 Amazon Q Developer 擴充功能 1.85.0 版。這些措施包含從發行管道中移除 1.84.0 版，確保後續沒有客戶會安裝到此版本。雖然惡意程式碼無法執行，但它仍然存在於現有的 1.84.0 版安裝中。因此，所有已安裝的 1.84.0 版本都應停用，並請客戶更新至 1.85.0 版，包含任何分支或衍生複本。

若要更新適用於 VS Code 的 Amazon Q Developer 擴充功能：

• 開啟 Visual Studio Code
• 導覽至「擴充功能」面板
• 找到 Amazon Q Developer
• 按一下「更新」按鈕

請參考下列 1.84.0 版的雜湊值：

• sha256:47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464
  

參考資料：

• https://github.com/aws/aws-toolkit-vscode
• CVE-2025-8217
• GHSA-7g7f-ff96-5gcw
• AWS-2025-016

如有任何安全問題或疑慮，請寄電子郵件至 aws-security@amazon.com。