خب رفقا، اگه برنامهنویس هستین یا با ویژوال استودیو کد (که معروفه به VSC) کار میکنین و افزونه Q Developer Extension آمازون رو نصب داشتین، حتماً این خبر رو بخونین.
داستان از این قراره: یه افزونه به اسم “Amazon Q Developer Extension” وجود داره که تقریباً یه میلیون نصب داشته. این افزونه با کمک هوش مصنوعی Generative AI (یعنی همون هوش مصنوعیای که خودش میتونه چیزای جدید مثل کد یا متن تولید کنه)، قرار بود کار کد زدن و دیباگ و مستندسازی رو برامون آسونتر کنه. اما… یکی از هکرها توش کد مخرب جا داده بود!
همه چی از یه روز تابستونی (۱۳ جولای ۲۰۲۵) شروع شد. یه نفر با اسم کاربری عجیبی (lkmanka58) توی گیتهاب، یک تغییر توی کد داد که باعث میشد یه جورهایی فایلها و منابع سیستم و حتی دادههای سرورهای ابری، پاک بشن! این یعنی اگر این کد اجرا میشد، اطلاعاتت به راحتی میرفت رو هوا. جالب اینجاست که آمازون اصلاً متوجه نشد و نسخه آلوده (یعنی نسخه 1.84.0) رو توی ۱۷ جولای منتشر کرد، اونم خیلی بیخیال.
تا اینکه ۲۳ جولای یه سری آدم مشکوک شدن که انگار یه چیزی درست نیست. بالاخره آمازون به خودش اومد و رکورد زد! سریع نسخه تمیز 1.85.0 رو تو ۲۴ جولای داد بیرون و بدافزار رو حذف کرد. الانم همه جا تاکید کردن که: «لطفاً، لطفاً، لطفاً سریع به نسخه 1.85.0 آپدیت کنین تا سیستمتون امن باشه.»
حالا یه نکته جالب: آمازون میگه این کد خراب، به هر دلیلی درست اجرا نمیشد (میگن کد مشکل داشته و عملاً اجرا نمیشده)، ولی چندتا محقق گفتن دیدیم این کده اجرا شده – ولی خوشبختانه هیچ خسارت واقعی به کسی نرسونده. با این حال، نسخه 1.84.0 کلاً از همه جا پاکش کردن که کسی از روش اشتباهی نصب نکنه.
خیلیها توی اینترنت مثل ردیت گیر دادن به آمازون که چطور همچین کد خطرناکی رو کشف نکرده و چرا همه چی رو تو خفا درست کرده و شفاف نبوده! حتی اعتراض داشتن که چرا تاریخچه گیت رو بیسر و صدا عوض کرده، به جای اینکه راست و حسینی اعتراف کنه.
جالبتر این که این فقط مشکل افزونه Q آمازون نیست. طبق یه تحقیق دانشگاهی تو سال ۲۰۲۴، اومدن حدود ۵۳ هزار افزونه VS Code رو بررسی کردن و دیدن ۵.۶ درصد افزونهها یا کدهای مشکوک دارن، یا بدون اجازه به شبکه وصل میشن، یا دست به خرابکاریهایی مثل مخفیکردن بخشهایی از کد میزنن. (این رو بهش میگن Privilege Abuse یا سوءاستفاده از دسترسی). یعنی خلاصه حواستون به همه افزونهها و مخصوصاً افزونههای هوش مصنوعی باشه!
نکتهی آخر: خیلیها از اتفاق آمازون ناراحت شدن چون توقع نداشتن یه شرکت به این بزرگی همچین سوتیای بده و افزونهای که قراره کمکشون کنه، براشون دردسرساز بشه. حرف کارشناسا اینه که به هیچ افزونه یا دستیار برنامهنویسی (AI assistants یعنی همین دستیارهای هوشمند تو محیط برنامهنویسی) اعتماد مطلق نکنین.
پس خلاصه و دوستانه بگم: اگه افزونه Q رو داری، سریع و بیمعطلی به نسخه 1.85.0 بهروزرسانیش کن و از این به بعد هم حواست باشه چی داری نصب میکنی و از کجا داری دانلود میکنی.
پ.ن: به عنوان چیزای جالب دیگه، اگه دوست داشتی درباره بهترین لپتاپها برای برنامهنویسی یا IDEهای قوی برای پایتون (IDE یعنی نرمافزار محیط توسعه یکپارچه، جایی که میتونی کدت رو راحتتر بنویسی و تست کنی) بیشتر بدونی، سرچ کن کلی مقاله باحال هست!
امن و موفق باشی رفیق کدنویسم! 🚀
منبع: +
