Vulnerabilidad en Amazon Q permite ejecución de código y robo de credenciales en repositorios Git

Investigadores de Wiz descubrieron una vulnerabilidad de alta gravedad en Amazon Q, el asistente de codificación con IA de AWS para Visual Studio Code. La falla, registrada como CVE-2026-12957 con una puntuación CVSS 4.0 de 8.5 (sobre 10), permite que un repositorio Git manipulado ejecute código arbitrario en la máquina del desarrollador y robe credenciales de la nube. Este hallazgo, reportado por The Register, expone una debilidad sistémica en la implementación del Model Context Protocol (MCP) que afecta no solo a AWS, sino a toda una generación de asistentes de codificación con IA.

¿Qué ha ocurrido?

El problema radica en cómo Amazon Q maneja las configuraciones del Model Context Protocol (MCP). Cuando un desarrollador abre un proyecto que contiene un archivo .amazonq/mcp.json y activa Amazon Q, la extensión carga automáticamente ese archivo y ejecuta los comandos que contiene, sin solicitar confirmación ni verificar la confianza del espacio de trabajo. Según Wiz, 'el modelo de seguridad asume que el usuario configura explícitamente estos servidores', pero la vulnerabilidad viola esa suposición. En concreto, el asistente de IA lanza procesos locales que heredan todo el entorno del desarrollador, incluyendo credenciales de AWS, claves API, tokens de autenticación, sockets de agente SSH y otros secretos cargados en la sesión. 'La combinación significaba que un único archivo de configuración malicioso podía ejecutar comandos arbitrarios con acceso completo a las credenciales del desarrollador, sin interacción del usuario más allá de abrir la carpeta y activar Amazon Q', explicaron los investigadores.

Para demostrar el ataque, Wiz construyó un repositorio con una configuración MCP maliciosa. Al abrir el proyecto y activar Amazon Q, la extensión ejecutó un comando contra AWS utilizando las credenciales existentes del desarrollador. La vulnerabilidad fue reportada a AWS, que la corrigió en la versión 1.65.0 de su servidor de lenguaje. 'Agradecemos a Wiz por colaborar con nosotros en este problema. Hemos remediado el problema en la versión 1.65.0 del servidor de lenguaje', indicó Amazon en un aviso, aunque no respondió a preguntas adicionales de The Register.

¿Por qué es importante?

Esta vulnerabilidad no es un caso aislado. Wiz señala que es un problema de toda la industria, ya que cada vez más asistentes de codificación con IA adoptan MCP para conectar modelos a herramientas y servicios locales. Fallos similares en archivos de configuración del espacio de trabajo han aparecido recientemente en otras herramientas de IA. Los atacantes han encontrado un nuevo lugar donde acechar: los archivos ocultos que los desarrolladores rara vez cuestionan. El impacto potencial es enorme. Un repositorio malicioso, al ser clonado y abierto, podría comprometer no solo la máquina del desarrollador, sino también toda la infraestructura en la nube a la que tenga acceso. Dado que muchos desarrolladores trabajan con múltiples proyectos y repositorios públicos, el riesgo de propagación es alto. Históricamente, ataques similares han ocurrido en editores como Vim y Emacs, donde archivos de configuración como .vimrc o .emacs podían ejecutar comandos al abrir un proyecto. Sin embargo, la novedad aquí es que la ejecución ocurre a través de un asistente de IA, lo que amplifica el riesgo por la confianza implícita que los desarrolladores depositan en estas herramientas.

Según Wiz, la vulnerabilidad se debe a que Amazon Q no implementó correctamente el concepto de 'espacio de trabajo confiable', una característica común en editores como VS Code que advierte al usuario antes de ejecutar código de un proyecto no confiable. Mientras que VS Code muestra un mensaje preguntando si se confía en el autor del proyecto, Amazon Q ignoraba esa verificación y cargaba la configuración MCP automáticamente. Esto permitía que cualquier repositorio, incluso uno clonado de una fuente desconocida, ejecutara comandos arbitrarios sin consentimiento.

¿Qué consecuencias tendrá?

Amazon ha corregido el error en la versión 1.65.0 de su servidor de lenguaje, que impulsa las integraciones de Amazon Q en los IDE. Las instalaciones existentes deberían recibir el componente parcheado automáticamente, a menos que se hayan bloqueado las actualizaciones automáticas. Sin embargo, la comunidad de seguridad espera que este incidente impulse a otros proveedores de asistentes de IA a revisar sus implementaciones de MCP y adoptar medidas de seguridad más estrictas, como la solicitud de consentimiento explícito antes de cargar configuraciones. Además, Wiz recomienda que los proveedores implementen verificaciones de integridad en los archivos MCP y limiten los permisos de los procesos lanzados por los asistentes de IA. Para los desarrolladores, la lección es clara: deben ser cautelosos con los repositorios de origen desconocido y mantener actualizadas sus herramientas de desarrollo. Además, es recomendable revisar los archivos de configuración ocultos de los proyectos antes de abrirlos con asistentes de IA.

El incidente también resalta la necesidad de que los proveedores de nube como AWS refuercen la seguridad de sus herramientas de IA. Dado que Amazon Q está integrado en AWS, un ataque exitoso podría escalar desde la máquina del desarrollador hasta los recursos en la nube, como buckets S3, bases de datos o funciones Lambda. Wiz ya ha demostrado que es posible ejecutar comandos de AWS CLI utilizando las credenciales del desarrollador, lo que podría llevar a la exfiltración de datos o al movimiento lateral dentro de la cuenta de AWS.

¿Qué deben saber los lectores?

Si eres desarrollador y usas Amazon Q en VS Code, asegúrate de tener la versión más reciente del servidor de lenguaje (1.65.0 o superior). Evita abrir repositorios de fuentes no confiables mientras tengas Amazon Q activado. Considera deshabilitar temporalmente la extensión si trabajas con proyectos desconocidos. Además, presta atención a los archivos .amazonq/mcp.json en los repositorios que clonas. Para administradores de seguridad, se recomienda auditar el uso de asistentes de IA en los entornos de desarrollo y establecer políticas que restrinjan la ejecución automática de configuraciones. A nivel de industria, este caso debería servir como catalizador para que el MCP sea rediseñado con un modelo de seguridad más robusto, similar a cómo se manejan las extensiones de navegador o los permisos de aplicaciones móviles.

La vulnerabilidad CVE-2026-12957 es un recordatorio de que la conveniencia de los asistentes de IA no debe sacrificar la seguridad. La automatización de la confianza es un riesgo que la industria debe abordar con urgencia. Como señaló Wiz, 'el problema no es solo de Amazon, es de toda la industria'. La adopción de MCP sin las debidas salvaguardas podría convertir a los asistentes de IA en vectores de ataque privilegiados.