何が起きたか
Novee セキュリティ研究者 Elad Meged は 2026-06-23 に Cordyceps を開示しました。GitHub Actions ワークフローの複数ステップ CI/CD エクスプロイトチェーンの体系的なクラスです。信頼されていない外部データ (PR コンテンツ、コメント、ブランチ名) が信頼境界を高特権ワークフローステップに越えます。各個別ステップが無害に見えるため、標準スキャナーはこれを見落とします。脆弱性は構成にのみ存在します。Novee は 30,000 リポジトリスキャンから 300 以上の完全に悪用可能なチェーンを検証し、Microsoft Azure Sentinel および Google AI Agent Development Kit への確認された重大な影響があります。
なぜ重要か
Google の AI Agent Development Kit は主要な AI エージェント開発インフラストラクチャプロジェクトです。単一のプルリクエストを介した CI パイプラインの侵害により、Google CI 環境へのクラウド所有者レベルのアクセス権が付与されます。AI コーディングエージェントは、脆弱な CI/CD パターンの拡散を加速させることが特に呼び出されます。これは AI 開発ツールチェーンの体系的なサプライチェーンリスクです。
攻撃経路
無料の GitHub アカウントのみを持つ攻撃者が悪意のあるプルリクエストまたは PR コメントを送信します。GitHub Actions YAML の不安全な信頼境界越境により、信頼されていない PR コンテンツが高特権ワークフローにフローし、CI ランナーで攻撃者コードを実行し、有効期限のない GitHub App キー、クラウド認証情報、またはパッケージ署名トークンを盗みます。Google AI ADK では、単一の PR により、関連する Google Cloud プロジェクトに対して認証されたコントロールを達成しました。
影響を受けるシステム
主要な AI およびソフトウェアプロジェクト全体の GitHub Actions CI/CD ワークフロー。確認済み: Google AI Agent Development Kit (adk-samples)、Microsoft Azure Sentinel、Apache Doris、Cloudflare Workers SDK、Python Software Foundation Black — スキャンされた 30,000 の 300 以上リポジトリが悪用可能であると検証
緩和策
すべての GitHub Actions .yml ファイルで、pull_request_target トリガーとシークレット/特権ステップ間の信頼境界違反を監査します。ワークフロートークンに最小権限の原則を適用します。影響を受けた組織 (Microsoft、Google、Apache、Cloudflare、PSF) がフィックスを適用しました。Novee の研究: https://novee.security/blog/cordyceps/