何が起きたか
Novee Security は 2026 年 6 月 23 日に、Google AI Agent Development Kit(ADK)、Microsoft Azure Sentinel、Apache Doris、Cloudflare Workers SDK、Python PSF Black フォーマッターを含む約 300+ の有名なリポジトリ全体にある GitHub Actions .yml ワークフロファイルにおける CI/CD 脆弱性(「Cordyceps」という名称)の体系的なクラスを開示しました。実行を信頼できるコードに制限せずに pull_request_target を使用するワークフローは、無料の GitHub アカウントを持つ任意の未認証ユーザーが権限付き CI 実行をトリガーし、コードを注入し、有効期限のない認証情報を盗み、サプライチェーン侵害を達成することを許可します。Google の AI Agent Dev Kit 特に、細工されたプルリクエストは、攻撃者に Google Cloud プロジェクトの完全な所有者レベルの権限を付与できます。Microsoft は Azure Sentinel への影響を確認しました。Novee は約 30,000 のリポジトリをスキャンし、654 個がフラグされ、300+ が完全に悪用可能であることを発見しました。
なぜ重要か
Google の AI Agent Development Kit は、Google が自律 AI エージェントをビルドおよび展開するための出荷するプライマリフレームワークです。そのビルドパイプラインのサプライチェーン侵害は、世界中の AI 開発者によって消費されるリリースに悪意のあるコードを注入する可能性があります。欠陥は、マシン速度で GitHub Actions YAML を生成し、リポジトリ全体で同じ不安全なパターンを指数関数的規模で複製する AI コーディングエージェントによってさらに複雑になります。CVE は割り当てられていません。GitHub レベルのパッチはありません。軽減には、リポジトリごとのワークフロー構成変更が必要です。
攻撃経路
無料の GitHub アカウントを持つ未認証攻撃者が、プルリクエストを開くか、脆弱な pull_request_target ワークフローをトリガーするコメントを投稿します。低権限ワークフロー出力が信頼境界を超えて高権限ワークフローに交差し、認証情報盗難、コード注入、アーティファクトポイズニング、および完全なクラウドプロジェクト乗っ取りを実現します
影響を受けるシステム
Google AI Agent Development Kit(ADK)、Microsoft Azure Sentinel、Apache Doris、Cloudflare Workers SDK、Python PSF Black フォーマッター、および 300+ の追加のオープンソースリポジトリ。pull_request_target を信頼制限なしで使用する GitHub Actions ワークフロー
緩和策
すべての GitHub Actions ワークフローを pull_request_target の使用について監査します。信頼できるコードパスに制限します。最小権限権限を適用します。ワークフローアクションを完全なコミット SHA にピン留めします。Novee ブログ:https://novee.security/blog/cordyceps — Microsoft、Google、Cloudflare、Apache、Python PSF は責任ある開示後に修正を適用しました。