Wiz Research entdeckte die Schwachstelle in der Amazon-Q-Developer-Erweiterung für Visual Studio Code und veröffentlichte die technischen Details in einem Blogbeitrag. Laut Maor Dokhanian, Bedrohungsforscher bei Wiz, lag das Problem darin, dass Amazon Q MCP-Server-Konfigurationen aus Workspace-Dateien ohne Nutzerfreigabe automatisch lud und startete. In Verbindung mit der vollständigen Übernahme der Umgebungsvariablen habe das „eine sofortige Codeausführung ermöglicht“.

Betroffen war der zugrunde liegende AWS Language Server, der die Laufzeit für die KI-Programmierhilfe von Amazon Q in Plug-ins für Visual Studio Code, JetBrains, Eclipse und Visual Studio bereitstellt. AWS hat die Lücke nach der Meldung von Wiz mit Version 1.65.0 des Language Servers geschlossen. Wer diese oder eine neuere Version einsetzt, muss laut Bericht nichts weiter unternehmen.

Dokhanian ordnet den Fall als Teil eines größeren Musters bei KI-Coding-Tools ein. Ähnliche Schwachstellen rund um die automatische Ausführung von Workspace-Konfigurationen, insbesondere über MCP, seien laut ihm auch in Claude Code (CVE-2025-59536, CVE-2026-21852), Cursor (CVE-2025-54136) und Windsurf (CVE-2026-30615) von externen Forschern identifiziert worden. Vergleichbare Probleme seien zudem unabhängig von OX Security und Check Point entdeckt worden.

MCP-Server verbinden KI-Agenten mit anderen Unternehmenssystemen und gelten damit als sicherheitskritische Schicht. Im vorliegenden Fall betrifft das die Entwicklungsumgebung, die wegen der Berechtigungen von Entwicklern in zahlreiche Cloud-Ressourcen hineinreichen kann. Laut Dokhanian kann ein Angreifer ein bösartiges Entwickler-Repository erstellen, das das Verhalten von Amazon Q bei MCP-Servern ausnutzt, um an Cloud-Zugangsdaten zu gelangen.

Das von Wiz beschriebene Angriffsszenario beginnt damit, dass ein Entwickler ein präpariertes oder per Typosquatting benanntes Paket klont und den Ordner in VS Code mit installiertem Amazon Q öffnet. Sobald das Opfer Amazon Q aktiviert, lädt und startet die Erweiterung die schädliche MCP-Konfiguration laut Dokhanian „ohne eine Zustimmung abzufragen“. Die Ausführung erfolge still im Hintergrund bereits dann, wenn das Repository geöffnet und die Erweiterung initialisiert wird — noch bevor der Entwickler auch nur eine einzige Codezeile geprüft hat. Herkömmliche Code-Reviews böten deshalb nur wenig Schutz.

Wiz testete einen Machbarkeitsnachweis und zeigte, dass der Befehl „aws sts get-caller-identity“ die aktive AWS-Sitzung des Entwicklers erfolgreich erfassen konnte. Damit demonstrierten die Forscher, wie sich aus der Codeausführung eine Kompromittierung der Cloud-Umgebung entwickeln kann.

Rohit Valia, Chef des Sicherheitsunternehmens Tumeryk, bezeichnet KI-Coding-Assistenten als reale Angriffsfläche. Organisationen müssten jedes KI-Werkzeug mit Zugriff auf die Arbeitsumgebung als möglichen Pfad zur Abschöpfung von Zugangsdaten behandeln. Wiz empfiehlt außerdem, Warnhinweise zu „nicht vertrauenswürdigen MCP-Servern“ sorgfältig zu prüfen und die angezeigten Befehle vor einer Freigabe zu kontrollieren. Zudem sollten Unternehmen vorhandene MCP-Konfigurationen in ihren Umgebungen überprüfen, um keine zusätzlichen Sicherheitsprobleme einzuführen.