Amazon Q Developer for Visual Studio Code 扩展安全更新（版本 1.84）

范围： AWS

内容类型： 重要（需要关注）

发布日期： 2025 年 7 月 23 日 下午 6:00 PDT

更新日期： 2025 年 7 月 25 日 下午 6:00 PDT

描述

Amazon Q Developer for Visual Studio Code（VS Code）扩展是一款开发工具，将 Amazon Q 的 AI 驱动编码助手直接集成到 VS Code 集成开发环境（IDE）中。

AWS 已发现并解决了 Amazon Q Developer for VS Code 扩展中的一个问题，该问题被分配为 CVE-2025-8217。

在我们对 AWS-2025-016 的调查过程中，我们确定 Amazon Q Developer for VS Code 扩展在其 CodeBuild 配置中存在一个权限范围不当的 GitHub 令牌。攻击者利用该访问令牌将恶意代码提交到扩展的开源仓库中，这些代码被自动包含在一个发布版本中。发现此问题后，我们立即撤销并替换了凭据，从代码库中移除了恶意代码，随后发布了 Amazon Q Developer for VS Code 扩展版本 1.85.0。

AWS 安全部门已检查代码，并确定恶意代码随扩展分发，但由于语法错误未能成功执行。这阻止了恶意代码对任何服务或客户环境进行更改。

如果我们有更多信息需要分享，将更新此公告。

受影响版本

Amazon Q Developer for Visual Studio Code 扩展（版本 1.84.0）

解决方案

AWS 已采取所有必要的缓解措施来保护 AWS 系统，并发布了 Amazon Q Developer for VS Code 扩展版本 1.85.0。这包括从分发渠道中移除 1.84.0 版本，以确保没有更多客户可以安装它。虽然恶意代码无法执行，但它仍然存在于现有的 1.84.0 安装中。因此，所有 1.84.0 的安装都应停止使用，客户应更新到 1.85.0，包括任何分叉或衍生副本。

要更新您的 Amazon Q Developer for VS Code 扩展：

1. 打开 Visual Studio Code

2. 导航到扩展面板

3. 找到 Amazon Q Developer

4. 点击更新按钮

版本 1.84.0 的哈希值如下：

sha256: 47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464

参考链接

• https://github.com/aws/aws-toolkit-vscode

• CVE-2025-8217

• GHSA-7g7f-ff96-5gcw

• AWS-2025-016

如有任何安全问题或疑虑，请发送邮件至 aws-security@amazon.com。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享