Selon des experts en sécurité, l’extension Q Developer d’AWS pour Visual Studio Code de Microsoft serait vulnérable aux attaques par injection de commandes furtives. Pour cela, ils se sont servis de caractères Unicode invisibles. Ils ont détaillé leur technique au sein du blog « Embrace The Red » en expliquant, « Q Developer d’AWS ne parvient pas à nettoyer les caractères Unicode Tag invisibles ». Tout en ajoutant, « ces caractères peuvent être intégrés dans un texte apparemment inoffensif, et déclencher une action cachée lorsqu'ils sont traités ». Ils sont normalement utilisés pour le balisage de texte caché et agissent comme des symboles spéciaux qui n’apparaissent pas à l’écran. Ils sont tout de même traités par l’ordinateur ce qui permet de cacher sournoisement des instructions à l’insu de tous.

Les minuscules balises invisibles comprises par l’IA

S’ils sont invisibles pour les développeurs, les caractères Unicode Tag invisibles sont compris par l'IA, ce qui donne aux pirates la capacité d'introduire des instructions cachées dans les invites. Dans une preuve de concept (POC) présentée dans le blog, les experts ont intégré ces balises dans un fichier qui apparaissait dans VS Code, mais qui déclenchait l’assistant Q pour suivre des directives cachées, notamment le déclenchement de l'exécution de code arbitraire via les exploits décrits précédemment. La combinaison d'une injection invisible et d'exploits hérités tels que « find -exec » constitue un vecteur de menace puissant.

Les spécialistes ont transmis la vulnérabilité à AWS le 5 juillet après s’être assuré qu’il n’y avait aucune procédure officielle de bug bounty et après avoir soumis le rapport à une adresse e-mail trouvée sur GitHub. Selon le blog, après quelques retards de communication du fait que les produits d'IA d'Amazon n'étaient initialement pas concernés, le problème a finalement été accepté dans le programme de divulgation des vulnérabilités HackerOne.

Pas de correction de la faille par le créateur du modèle

Le problème semble provenir de Claude, le modèle d'Anthropic qui alimente Q, et l’éditeur n’envisage semble-t-il pas de corriger. « Les modèles Anthropic sont connus pour interpréter les caractères Unicode invisibles comme des instructions », ont expliqué les experts. « À notre connaissance, Anthropic n'a pas l'intention de corriger ce problème, comme le montre cette publication concernant leur réponse. » Anthropic aurait refusé de corriger le vecteur d'injection de prompt, déclarant : « Après avoir examiné votre rapport, nous n'avons pu identifier aucun impact sur la sécurité. Par conséquent, cela a été marqué comme non applicable. » Sollicité par CSO, l’éditeur n'a pas immédiatement répondu à une demande de commentaires. Les hackers qui utilisent le pseudonyme « WunderWuzzi » pour le blog, ont souligné que les développeurs qui s'appuient sur Claude, y compris Amazon Q, doivent bloquer ces attaques par eux-mêmes. La plupart des modèles continuent d'analyser les injections de commandes invisibles, à l'exception d'OpenAI, qui a traité le problème directement au niveau du modèle/de l'API.

« Le 8 août 2025, AWS a signalé que la vulnérabilité avait été résolue », ont observé les chercheurs. Cependant, « aucun avis public ni CVE ne sera publié ». Les utilisateurs doivent donc s'assurer qu'ils utilisent la dernière version de Q Developer pour des raisons de sécurité. Egalement sollicité par CSO, AWS n'a pas répondu immédiatement à une demande de commentaires. L'extension Q Developer VS Code, téléchargée plus d'un million de fois, attire considérablement l'attention des pirates. Le mois dernier, un d’eux avait inséré un code destructeur dans l'outil, qui s'est ensuite propagé via une mise à jour officielle.