深潮 TechFlow 消息,6 月 25 日,網絡安全公司 Novee 在最新研究中表示,其發現一種被命名為“Cordyceps”的 CI/CD 供應鏈漏洞模式,主要涉及 GitHub Actions 工作流中的命令注入、認證邏輯缺陷、製品投毒與權限提升等問題。報告稱,該類漏洞可被未認證用戶利用,在特定條件下實現工作流劫持、憑證竊取或代碼倉庫控制。
Novee 表示,其對約 3 萬個高影響力開源代碼倉庫進行掃描後,標記出 654 個存在相關風險的倉庫,其中逾 300 個被確認可被完整利用。報告列舉了微軟 Azure Sentinel、谷歌 AI Agent Development Kit 示例倉庫、Apache Doris、Cloudflare Workers SDK 以及 Python Black 等項目作為案例。研究同時指出,傳統安全工具較難識別這類跨工作流、多步驟的攻擊鏈,而 AI 代碼生成工具可能加速不安全 CI/CD 配置模式的擴散。
添加收藏
分享社交媒體
