ритична уязвимост с висока степен на сериозност в Amazon Q eveloper позволяваше на злонамерени хранилища да изпълняват команди и да крадат облачни идентификационни данни на разработчици.

Пътят за компрометиране е бил изключително кратък: разработчикът отваря хранилището, гласува доверие на работното пространство (workspace), след което Amazon Q извършва останалото. От Amazon вече са отстранили проблема.

Пропускът, проследяван под идентификатор CVE-2026-12957 (оценка по CVSS 8.5), се е съдържал в начина, по който AI асистентът за програмиране на Amazon управлява сървърите по протокола Model Context Protocol (MCP). Откритието е дело на изследователи от Wiz.