定義
組織がコードを配布するために使用する自動化されたソフトウェアビルドおよびデプロイメントパイプラインを標的とした攻撃—特に現在それに組み込まれている AI エージェントおよびアシスタント。CI/CDパイプラインのAIコンポーネント(例えば、AIコーディングエージェントを使用するGitHub Action)を侵害することで、攻撃者はパイプラインが生成するすべてのソフトウェアリリースに悪意のあるコードを挿入できます。
なぜ重要か
CI/CDパイプラインは最新のソフトウェア配信の工場です。そのパイプラインに組み込まれたAIコーディングエージェントが侵害されると、攻撃者はパイプラインの広範な権限を継承します—ソースコード、シークレット、および本番環境に触れることができます。これは組織が配布するあらゆるアプリケーションに影響を与える可能性があるサプライチェーン攻撃です。