定義
Continuous Integration / Continuous Delivery (CI/CD) パイプラインは、コード変更が送信されるたびにソフトウェアをビルド、テスト、およびデプロイする自動化されたシステムです。パイプラインを侵害する(多くの場合、設定ミスのあるワークフローファイルを悪用することで)と、攻撃者は本番サーバーに直接侵入する必要なく、ソフトウェアが利用者に到達する前に悪意のあるコードを最終的なソフトウェア製品に注入することができます。AI開発ツールは特に価値のあるターゲットです。なぜなら、それらは信頼されており、広く配布されているからです。
なぜ重要か
Google の AI Agent Development Kit などの高価値 AI プロジェクトの CI/CD 侵害が成功すると、その上に構築されたすべてのアプリケーションに静かにバックドアを仕掛けることができます — 数百万人のダウンストリームユーザーに同時に影響を与えます。このクラスの脆弱性は、300 以上のリポジトリ(主要な AI インフラストラクチャプロジェクトを含む)に影響を与えていることが判明しました。