亚马逊生成式 AI 编程助手 Amazon Q 近日遭受黑客攻击，恶意代码通过 GitHub 仓库和 Visual Studio Code 扩展传播，影响近百万用户。黑客以伪装的拉取请求植入删除用户文件及云资源的指令，暴露亚马逊代码审查漏洞。尽管恶意代码未被执行，事件仍引发对开源工作流安全管理的反思。专家强调问题在于权限控制与审查机制缺失，而非开源本身。亚马逊已发布修复版本，建议用户更新。