Apa yang terjadi
Novee Security mengungkapkan pada 23 Juni 2026 kelas sistemik dari kerentanan CI/CD (dinamai 'Cordyceps') dalam file workflow GitHub Actions .yml di seluruh ~300+ repository profil tinggi termasuk Google AI Agent Development Kit (ADK), Microsoft Azure Sentinel, Apache Doris, Cloudflare Workers SDK, dan Black formatter PSF Python. Workflow menggunakan pull_request_target tanpa membatasi eksekusi ke kode terpercaya memungkinkan pengguna yang tidak diautentikasi apa pun dengan akun GitHub gratis memicu CI run berprivilege tinggi, menyuntikkan kode, mencuri kredensial yang tidak kadaluarsa, dan mencapai kompromi supply-chain. Pada Google AI Agent Dev Kit khususnya, pull request yang dirancang dapat memberikan penyerang otoritas level pemilik penuh atas proyek Google Cloud. Microsoft mengkonfirmasi dampak pada Azure Sentinel. Novee memindai ~30.000 repos dan menemukan 654 ditandai dan 300+ sepenuhnya dapat dieksploitasi.
Mengapa penting
Google AI Agent Development Kit adalah kerangka kerja utama yang Google kirim untuk membangun dan menerapkan agen AI otonom. Kompromi supply-chain dari pipeline buildnya dapat menyuntikkan kode berbahaya ke dalam release yang dikonsumsi oleh pengembang AI secara global. Kelemahan ini diperburuk oleh agen coding AI yang menghasilkan YAML GitHub Actions dengan kecepatan mesin, menggandakan pola insecure yang sama di seluruh repository pada skala eksponensial. Tidak ada CVE yang ditetapkan; tidak ada patch level GitHub — remediasi memerlukan perubahan konfigurasi workflow per-repo.
Vektor serangan
Penyerang yang tidak diautentikasi dengan akun GitHub gratis membuka pull request atau memposting komentar yang memicu workflow pull_request_target yang rentan; output workflow privilege rendah menyeberangi batas kepercayaan ke workflow privilege tinggi, mengaktifkan pencurian kredensial, injeksi kode, artifact poisoning, dan pengambilalihan proyek cloud penuh
Sistem yang terdampak
Google AI Agent Development Kit (ADK), Microsoft Azure Sentinel, Apache Doris, Cloudflare Workers SDK, Python PSF Black formatter, dan 300+ repository open-source tambahan; workflow GitHub Actions apa pun menggunakan pull_request_target tanpa pembatasan kepercayaan
Mitigasi
Audit semua workflow GitHub Actions untuk penggunaan pull_request_target; batasi ke jalur kode terpercaya; terapkan izin least-privilege; paskan aksi workflow ke SHA commit penuh. Blog Novee: https://novee.security/blog/cordyceps — Microsoft, Google, Cloudflare, Apache, Python PSF menerapkan perbaikan setelah disclosure yang bertanggung jawab.