Definisi
Serangan yang menargetkan pipeline build-dan-deployment perangkat lunak otomatis yang digunakan organisasi untuk mengirimkan kode—khususnya agen dan asisten AI yang sekarang tertanam di dalamnya. Dengan mengompromikan komponen AI dari pipeline CI/CD (misalnya, GitHub Action yang menggunakan agen coding AI), penyerang dapat menyuntikkan kode berbahaya ke dalam setiap rilis perangkat lunak yang dihasilkan pipeline.
Mengapa penting
Pipeline CI/CD adalah lantai pabrik pengiriman perangkat lunak modern. Ketika agen coding AI yang tertanam dalam pipeline itu dikompromikan, penyerang mewarisi izin luas pipeline—menyentuh kode sumber, rahasia, dan lingkungan produksi. Ini adalah serangan rantai pasokan yang dapat mempengaruhi setiap aplikasi yang dikirimkan organisasi.