知名AI遭黑客“投毒”，下载量超96万！开发者炸锅：一条带「自毁指令」的PR，差点“抹掉”整个云世界...

主要观点总结

本文主要介绍了亚马逊推出的AI编码助手Amazon Q发生的安全事件，一名黑客向Amazon Q的GitHub仓库提交了一个恶意Pull Request，在代码中植入了恶意指令，可能会导致用户的数据被删除或者云资源被清空。事件曝光后，亚马逊迅速撤回了相关版本并试图低调处理，但引起了开发者社区的广泛批评和质疑。

关键观点总结

关键观点1: Amazon Q介绍

Amazon Q是亚马逊面向开发者推出的一种生成式AI助手，可帮助程序员更高效地编写、调试和部署代码，是AWS AI工具链中的重要一环。

关键观点2: 黑客攻击事件

黑客通过提交恶意Pull Request，在Amazon Q的代码中植入了恶意指令，该指令如果被执行，可能会删除用户的本地文件，甚至在某些触发条件下会通过AWS CLI操作终止EC2实例、清空S3桶、删除IAM用户等。

关键观点3: 事件影响

这次事件的恶意代码被打包进了Amazon Q的正式版本，毫无预警地推送给了所有用户。由于版本更新默认为自动推送，因此至少在短时间内，有一批开发者已悄然安装了带有自毁指令的AI工具。

关键观点4: 亚马逊的回应

亚马逊在事件曝光后迅速撤回了相关版本，但未在插件页面留下任何更新说明、漏洞提示，甚至未发布CVE编号。在面对媒体采访时，亚马逊强调让用户升级至最新版插件，并声称没有客户资源受到影响。

关键观点5: 开发者社区的反馈

开发者社区对亚马逊的处理方式表示质疑和批评，认为亚马逊故意掩盖事故，并呼吁其公开披露、真诚对话以重建社区信任。