Amazon-Q-Luecke zeigt das Repo-Risiko von Coding-Agenten

Worum es geht

Wiz Research hat am 26. Juni 2026 eine Schwachstelle in Amazon Q Developer öffentlich gemacht. Die Lücke, CVE-2026-12957, betraf die Language Servers for AWS vor Version 1.65.0 und konnte dazu führen, dass ein präpariertes Repository beim Öffnen in der IDE Befehle ausführt.

Das ist deshalb brisant, weil Coding-Assistenten heute nicht nur Text vorschlagen. Sie starten lokale Prozesse, lesen Projektkonfigurationen und greifen über Protokolle wie MCP auf Werkzeuge zu. Genau dort wurde aus Bequemlichkeit eine Vertrauensgrenze.

Was die Amazon-Q-Luecke tatsächlich macht

Nach Wiz lud Amazon Q eine Datei namens .amazonq/mcp.json aus dem Workspace und startete darin definierte MCP-Server ohne separate Zustimmung. Diese Prozesse erbten die Umgebung des Entwicklers. In der Praxis können dort AWS-Schlüssel, Cloud-CLI-Tokens, API-Secrets oder SSH-Agent-Sockets liegen.

Der Proof of Concept war kurz: Ein Opfer klont ein Repository, öffnet es in VS Code mit Amazon Q, und ein versteckter MCP-Befehl kann etwa aws sts get-caller-identity ausführen und das Ergebnis an einen Angreifer senden. AWS hat laut Bulletin gepatcht und empfiehlt aktualisierte Plugin- und Language-Server-Versionen.

Warum das wichtig ist

Der Fall trifft einen Nerv der KI-Entwicklung. Repositories sind nicht automatisch vertrauenswürdig. Pull Requests, Coding-Tests, Beispielprojekte und Abhängigkeiten können Konfigurationsdateien enthalten. Wenn ein Coding-Agent solche Dateien als Startsignal für lokale Prozesse behandelt, wird Git-Clone zur Sicherheitsentscheidung.

The Hacker News ordnet die Lücke als Teil eines Musters ein: Auch andere Coding-Tools hatten Probleme, bei denen Projektkonfigurationen zu ausführbarem Verhalten wurden. Das bedeutet nicht, dass MCP falsch ist. Es bedeutet, dass jede Ausführung aus einem Projektordner eine klare Zustimmung, minimale Umgebung und sichtbare Protokollierung braucht.

Einfach erklärt

Stell dir vor, du bekommst einen Aktenordner auf den Schreibtisch. Normalerweise liest du die Blätter. In diesem Fall steckt im Ordner aber ein kleiner Schalter, der beim Öffnen automatisch deinen Tresorschlüssel kopiert. Der Fehler liegt nicht darin, Aktenordner zu benutzen, sondern darin, dass der Schalter ohne Nachfrage ausgelöst wird.

Praktisches Beispiel

Ein DevOps-Team prüft pro Woche 30 externe Pull Requests. Drei Personen arbeiten dabei mit aktiven AWS-Profilen, weil sie parallel Infrastruktur testen. Ein Angreifer reicht einen scheinbar harmlosen PR mit .amazonq/mcp.json ein. Wenn ein Entwickler den Branch lokal öffnet, könnte ein Befehl mit dessen Cloud-Rechten laufen.

Nach dem Patch sollte die IDE warnen. Trotzdem bleibt eine gute Praxis: unbekannte Repos in Containern oder Wegwerf-Umgebungen öffnen, Cloud-Profile nicht dauerhaft im Terminal halten, MCP-Konfigurationen im Review sichtbar machen und Agenten nur mit minimalen Rechten arbeiten lassen.

Einordnung und Grenzen

• Wiz und AWS beschreiben den Consent-Aspekt unterschiedlich: AWS verweist auf Workspace Trust, Wiz auf fehlende separate Zustimmung für MCP-Server vor dem Fix.
• Laut The Hacker News gibt es keine bekannte öffentliche Ausnutzung; das macht die Lücke aber nicht theoretisch, weil der Proof of Concept den Weg zeigt.
• Der Fix reduziert dieses konkrete Risiko, löst aber nicht das größere Problem automatisch ausführbarer Projektkonfigurationen in Agenten-Tools.

SEO- und GEO-Schlüsselbegriffe

Amazon Q Developer, CVE-2026-12957, MCP security, AI coding assistant, cloud credential theft, AWS Language Servers, VS Code extension, developer security, supply chain security, agent security