كشف باحثو شركة Wiz عن ثغرة أمنية عالية الخطورة في مساعد Amazon Q Developer البرمجي، تُتيح لمستودع كود خبيث تنفيذ أوامر عشوائية على جهاز المطوّر وسرقة بيانات اعتماده السحابية — بمجرد أن يفتح المطوّر ذلك المستودع ويثق ببيئة العمل.
رُصِدت الثغرة تحت المعرّف CVE-2026-12957 وحصلت على درجة 8.5 في مقياس CVSS، وقد عالجتها أمازون بتحديث أصدرته خلال أسابيع من الإبلاغ.
كيف تعمل الثغرة
يعتمد Amazon Q Developer على بروتوكول سياق النماذج (MCP) للتواصل مع قواعد البيانات وواجهات برمجية وأدوات البناء. وكان المساعد يقرأ ملف الإعداد `.amazonq/mcp.json` الموجود في مجلد العمل المفتوح، ثم يُشغّل الخوادم التي يُعرّفها هذا الملف تلقائياً — دون طلب موافقة صريحة منفصلة على كل خادم.
المشكلة أن هذه الخوادم تعمل بوصفها عمليات محلية ترث كامل بيئة المطوّر، بما فيها مفاتيح AWS، ورموز واجهات برمجية (API tokens)، ومقابس وكيل SSH. وبذلك يكفي ملف إعداد واحد مُدسوس في مستودع لينتقل المهاجم من مجرد `git clone` إلى التحكم في جلسة سحابية نشطة دون الحاجة إلى كلمة مرور أو خطوة تحقق إضافية.
في إثبات المفهوم الذي قدّمه باحثو Wiz، أجرى الملف الخبيث أمر `aws sts get-caller-identity` وأرسل المخرجات إلى خادم تحكّم خارجي، محققاً بذلك الاستيلاء الكامل على جلسة AWS الفعّالة. ومن هناك يستطيع المهاجم — بحسب صلاحيات المطوّر — زرع مستخدم IAM مستمر، أو الوصول إلى خدمات داخلية، أو التمحور نحو بيئات الإنتاج.
نطاق التأثير والإصلاح
تقع الثغرة في مكوّن "Language Servers for AWS"، وهو المحرّك الذي يُشغّل Amazon Q عبر أربعة بيئات تطوير متكاملة (IDE): VS Code وJetBrains وEclipse وVisual Studio. إذ تجمع إضافات هذه البيئات الأربعة هذا المكوّن، فكانت جميعها عرضة للخطر بالنسخ القديمة.
أعلنت أمازون إصلاح الثغرة في الإصدار 1.65.0 من Language Servers for AWS، غير أن توجيهها الأمني يوصي العملاء بالترقية إلى الإصدار 1.69.0 الذي يسدّ أيضاً ثغرة ثانية وهي CVE-2026-12958، وتتمثّل في غياب فحص الروابط الرمزية (symlink) مما يُتيح الكتابة خارج حدود بيئة العمل الموثوقة.
الحدود الدنيا للإضافات المصحَّحة:
- **VS Code**: الإصدار 2.20 أو أحدث
- **JetBrains**: الإصدار 4.3 أو أحدث
- **Eclipse**: الإصدار 2.7.4 أو أحدث
- **Visual Studio toolkit**: الإصدار 1.94.0.0 أو أحدث
يتحدّث خادم اللغة تلقائياً ما لم يحجب الشبكة هذا الخيار، وإعادة تحميل بيئة التطوير تجلب أحدث إصدار. ولا يوجد حتى الآن أي استغلال معروف في البرية؛ إذ تُشير قائمة برنامج CISA ADP للثغرة إلى عدم رصد أي استغلال فعلي.
أفصح Wiz عن الثغرة منسّقاً مع أمازون، إذ أبلغ عنها في 20 أبريل 2026 وصدر الإصلاح في 12 مايو، قبل النشر العلني في 26 يونيو.
نمط متكرر في مساعدات البرمجة بالذكاء الاصطناعي
لا تُعدّ هذه الحادثة استثناءً معزولاً؛ فقد عانت مساعدات برمجية أخرى من إشكاليات مماثلة تتعلق بالثقة في إعدادات بروتوكول MCP على مستوى المشروع. فقد استُغل Claude Code عبر CVE-2025-59536، وتأثّر Cursor بـ CVE-2025-54136، فيما وصل Windsurf عبر CVE-2026-30615 إلى النتيجة ذاتها بمسار مختلف إذ يُعيد المهاجم كتابة ملف إعداد MCP المحلي لتسجيل خادم خبيث.
القاسم المشترك في كل هذه الحالات أن ملفات الإعداد المرفقة بالمستودعات تتحوّل إلى سلوك قابل للتنفيذ، وأن آليات التحقق من الثقة عند نقطة الانتقال تلك تواصل الإخفاق. فراحة السماح لمجلد المشروع بإعداد عميل ذكاء اصطناعي هي ذاتها سطح الهجوم — والتحويل من إعداد إلى عملية تشغيلية ينبغي أن يستلزم موافقة صريحة لا ضمنية.
توصيات
- **حدِّث الإضافة فوراً** إلى الإصدارات الدنيا المُشار إليها أعلاه، أو الأحدث.
- إذا كانت الشبكة تمنع التحديث التلقائي، أجرِ التحديث اليدوي من سوق الإضافات في بيئة التطوير.
- كن حذراً عند فتح مستودعات خارجية غير موثوقة مع أدوات مساعدة مدعومة بالذكاء الاصطناعي، وراجع أي طلب ثقة بعناية قبل الموافقة عليه.
