Amazon’un Visual Studio Code için geliştirdiği yapay zekâ kod asistanı Amazon Q’da tespit edilen yüksek önem dereceli bir güvenlik açığı, geliştiricilerin yalnızca hazırlanmış bir Git deposunu açmasıyla sistemde komut çalıştırılmasına yol açabiliyordu. CVE-2026-12957 olarak izlenen açık, saldırganların AWS kimlik bilgileri, API anahtarları ile diğer hassas oturum verilerine erişebilmesine zemin hazırladı. Amazon, sorunu dil sunucusunun 1.65.0 sürümünde giderirken güvenlik araştırmacıları benzer risklerin diğer yapay zekâ kodlama araçlarında da görülebileceği uyarısında bulundu.

MCP Yapılandırması Güvenlik Modelini Devre Dışı Bıraktı

Wiz araştırmacıları, açığın Amazon Q’nun Model Context Protocol (MCP) yapılandırmalarını beklenmedik biçimde otomatik yüklemesinden kaynaklandığını açıkladı. Normal şartlarda geliştiricinin açık onayıyla çalıştırılması gereken MCP sunucuları, proje klasöründeki .amazonq/mcp.json dosyası üzerinden herhangi bir uyarı göstermeden etkinleştirilebildi.

Araştırmacılar, güvenlik modelinin kullanıcı onayına dayandığını ancak çalışma alanındaki yapılandırma dosyasının otomatik kabul edilmesi nedeniyle bu koruma mekanizmasının devreye girdiğini belirtti. Saldırganın hazırladığı Git deposunu açıp Amazon Q’yu etkinleştiren geliştirici, farkında olmadan sisteminde komut çalıştırabiliyordu.

MCP, yapay zekâ asistanlarının yerel araçları kullanarak görev yerine getirmesini sağlayan açık bir protokol olarak geliştiriliyor. Amazon Q içerisinde çalışan süreçler ise geliştiricinin mevcut oturumunu devraldığı için AWS kimlik bilgileri, erişim belirteçleri, SSH agent soketleri, API anahtarları ile ortam değişkenlerine erişebiliyordu. Araştırmacılar, hazırladıkları örnek Git deposunda zararlı MCP yapılandırmasını kullanarak Amazon Q’nun geliştiricinin mevcut AWS yetkilendirmesiyle otomatik komut çalıştırabildiğini gösterdi. Yapay zekâ kod asistanı açıldıktan sonra ek kullanıcı onayı gerekmemesi, açığın en kritik yönü olarak değerlendirildi.

Güncelleme Yayınlandı, Benzer Riskler Devam Ediyor

Amazon, güvenlik açığını Amazon Q IDE entegrasyonlarının kullandığı Language Server 1.65.0 sürümünde kapattığını açıkladı. Otomatik güncelleme özelliğini kapatmayan kullanıcıların düzeltmeyi kendiliğinden alacağı belirtilirken şirket, güvenlik araştırmasını gerçekleştiren Wiz ekibine teşekkür etti. CVE-2026-12957 için CVSS 4.0 önem puanı 8,5 olarak belirlendi. Güvenlik açığı, uzaktan saldırıya izin vermese de geliştiricinin zararlı bir proje klasörünü açması hâlinde yetkisiz komut çalıştırılmasına olanak tanıyor.

Wiz araştırmacıları, sorunun yalnızca Amazon Q’ya özgü olmadığını vurguluyor. Son dönemde birçok yapay zekâ kodlama aracı MCP desteği kazandığı için çalışma alanındaki gizli yapılandırma dosyaları yeni saldırı yüzeyi hâline geliyor. Yapay zekâ geliştirme araçları yerel sistemde komut çalıştırabildiğinde güvenilmeyen proje dosyalarının otomatik işlenmesi ciddi risk oluşturuyor. Geliştiricilerin özellikle GitHub depolarındaki gizli yapılandırma dosyalarını incelemesi, otomatik MCP yüklemelerini sınırlandırması ile IDE eklentilerini güncel tutması bulut kimlik bilgilerinin korunması açısından önem taşıyor.

Kurumsal yazılım ekipleri açısından bu olay, üretken yapay zekâ araçlarının yalnızca kod üretme süreçlerini değil, yazılım tedarik zinciri güvenliğini de doğrudan etkilediğini gösteriyor. Yapay zekâ destekli geliştirme platformları yaygınlaştıkça güvenlik denetimlerinin yalnızca kaynak koduna değil, çalışma alanı yapılandırmalarına ile geliştirici eklentilerine de odaklanması bekleniyor.