یه خبر جدید درباره افزونه AI برنامهنویسی آمازون منتظرته که بد نیست بدونیش. بذار داستانشو برات تعریف کنم:
اگه جزو اونهایی هستی که با Visual Studio Code (که خودش یه ادیتور کُد فوقالعاده مشهوره واسه برنامهنویسها) کار میکنی و از افزونه Amazon Q Developer ـش استفاده میکنی، حواست باشه چون یه چیزی این وسط کم مونده بود کلی رو سر همه خراب شه!
ماجرا اینه که Amazon Q Developer Extension (که رایگانه و یه چیزی تو مایههای GenAI ـه – یعنی هوش مصنوعیای که خودش میتونه با کمکت کُد بزنه، داکیومنت بده و پروژه رو پیکربندی کنه) نزدیک به یه میلیون بار از مارکت مایکروسافت دانلود شده؛ اما اخیراً دستکاری شده بود. یه هکر با شناسهی “lkmanka58” توی گیتهاب یه کد مخرب (malicious commit یعنی یه قطعه کد مشکلدار که به پروژهای اضافه شده) گذاشت که میتونست دادهها رو پاک کنه یا منابع سیستم و ابر (cloud resources یعنی سرورهایی که اطلاعاتت رو روشون ذخیره میکنی تو اینترنت) رو حذف کنه! تازه این کد رو آمازون ناخواسته تو نسخه 1.84.0 افزونه منتشر کرد. چهار روز بعدش تازه متوجه شدن…
زمان دقیق خبر: تاریخ خرابکاری ۱۳ جولای ۲۰۲۵ بوده و آمازون بدبخت هم افزونه رو با همین کد معیوب در ۱۷ جولای ارائه داده بود! توی ۲۳ جولای یه عده مشکوک شدن و سریع تیم آمازون دست به کار شد. خوشبختانه نسخه تمیز و بدون مشکل 1.85.0 رو ۲۴ جولای ارائه دادن. پس اگه هنوز با نسخهی قدیمی کار میکنی، حتماً همین الان برو و اپدیتش کن که دیگه از این خطرها در امان باشی.
این وسط آمازون گفت که اون کد مخرب در عمل اجرا نمیشده (چون بد نوشته شده بوده!) و تو سیستم کاربرا کاری نمیتونسته انجام بده. ولی بعضی محققها میگن نه، کد اجرا شده، فقط خوشبختانه خسارتی نزده. در هر صورت، آمازون بلافاصله نسخه خراب رو کلن از همه جا حذف کرده، ولی باز خیلیها با این موضوع کنار نیومدن.
خیلیها تو انجمنهایی مثل Reddit (یه شبکه اجتماعی خیلی معروف واسه صحبت تو فرومها و گروههای موضوعی) به آمازون گیر دادن که چرا موضوع رو شفاف نمیگه و چرا تاریخچه git رو یواشکی ویرایش کرده (git history یعنی سابقه همه تغییرات سورسکد پروژهها). میگن چرا سریعتر اطلاع نداده و این قضیه رو جمع و جور کرده؟
راستش این مشکل فقط برای افزونه آمازون نیست. یه تحقیق دانشگاهی تو سال ۲۰۲۴ روی تقریباً ۵۳هزار افزونه VS Code انجام شد که نشون میده حدود ۵.۶٪ افزونهها حاوی کدهای مشکوکن! مثل تماسهای شبکهای مشکوک (arbitrary network calls یعنی درخواستهایی که میتونن به جای امنی نرن)، سوءاستفاده از دسترسیها (privilege abuse یعنی یه افزونه یا برنامه بیشتر از حق دسترسیش کار میکنه) یا کدهای تو در توی نامفهوم (obfuscated code یعنی کدی که عمداً سختفهم نوشته شده که کسی نتونه بفهمه چی کار میکنه).
پس تهش اینه: به هیچ افزونهای تو VS Code یا حتی همین دستیارهای هوشمند AI بیقید و شرط اعتماد نکن! قبل از نصب افزونهها یکم دربارهشون سرچ کن؛ مخصوصاً اونهایی که کار مهمی برات انجام میدن.
خیلیها آشکارا ناامیدن که شرکت بزرگی مثل آمازون همچین اشتباهی از دستش در رفته. این نشون میده حتی غولهای فناوری هم میتونن از این سوراخ گزیده شن!
یه نکته اضافه: اگه دوست داری در مورد ابزارهای برنامهنویسی بیشتر بدونی، کلی راهنمای آنلاین هست برای بهترین IDE (محیط توسعه نرمافزاری؛ مثل یه سوپر دفتر برای کدنویسی)، دورههای آنلاین پایتون، یا حتی لپتاپهای مناسب برنامهنویسی… فقط کافیه سرچ کنی یا توی سایتهایی مثل TechRadar یه چرخی بزنی.
خلاصه فعلاً اگه Amazon Q رو داری، سریع بزن به آپدیت نسخه 1.85.0 تا کارت به دردسر نکشه. و همیشه تو دنیای افزونهها و هوش مصنوعی، حواست به کدهای مشکوک باشه؛ چون سورپرایز شدن اینجا خیلی گرون تموم میشه! 😅
منبع: +
