深潮 TechFlow 消息，6 月 25 日，网络安全公司 Novee 在最新研究中表示，其发现一种被命名为“Cordyceps”的 CI/CD 供应链漏洞模式，主要涉及 GitHub Actions 工作流中的命令注入、认证逻辑缺陷、制品投毒与权限提升等问题。报告称，该类漏洞可被未认证用户利用，在特定条件下实现工作流劫持、凭证窃取或代码仓库控制。

Novee 表示，其对约 3 万个高影响力开源代码仓库进行扫描后，标记出 654 个存在相关风险的仓库，其中逾 300 个被确认可被完整利用。报告列举了微软 Azure Sentinel、谷歌 AI Agent Development Kit 示例仓库、Apache Doris、Cloudflare Workers SDK 以及 Python Black 等项目作为案例。研究同时指出，传统安全工具较难识别这类跨工作流、多步骤的攻击链，而 AI 代码生成工具可能加速不安全 CI/CD 配置模式的扩散。