Falha no Amazon Q Developer poderia permitir que repositórios maliciosos executassem código via configurações MCP

O vetor de ataque do CVE-2026-12957 expõe uma falha de arquitetura em assistentes de código baseados em IA. O Model Context Protocol (MCP) permite que a ferramenta dialogue com bancos de dados e APIs locais. O runtime do Amazon Q lia o arquivo .amazonq/mcp.json do projeto clonado e disparava os processos definidos sem validação adicional. O perigo real está na herança de ambiente. Os servidores MCP iniciados puxavam chaves da AWS, tokens de CLI e soquetes SSH diretamente do perfil do desenvolvedor. A correção na versão 1.69.0 do Language Servers for AWS muda esse fluxo. O sistema agora exige aprovação explícita antes de executar servidores externos e aplica um bloqueio para symlinks, fechando o CVE-2026-12958.

Este episódio reforça que configuração de repositório nunca deve ser tratada como entrada confiável. A conveniência de carregar agentes automaticamente abre caminho para roubo de sessão na nuvem com os privilégios totais do usuário logado. Equipes de segurança corporativa precisam auditar como as IDEs gerenciam permissões e isolar ambientes de desenvolvimento de contas de produção. A tendência de assistentes evoluírem para executores de comandos exige políticas que tratem pastas clonadas como superfícies de ataque ativas. O padrão de falha já atingiu Claude Code, Cursor e Windsurf. A indústria deve migrar de patches pontuais para isolamento padrão de sandboxes nos runtimes de IA.