무슨 일이 있었나
Novee 보안 연구원 Elad Meged는 2026-06-23에 Cordyceps를 공개했습니다: GitHub Actions 워크플로우의 다단계 CI/CD 악용 체인의 체계적 클래스로, 신뢰할 수 없는 외부 데이터(PR 콘텐츠, 댓글, 브랜치 이름)가 신뢰 경계를 높은 권한 워크플로우 단계로 교차합니다. 표준 스캐너는 각 개별 단계가 양성으로 보이므로 누락합니다. 취약점은 구성에서만 존재합니다. Novee는 30,000개 저장소 스캔에서 300개 이상의 완전히 악용 가능한 체인을 검증했으며, Microsoft Azure Sentinel 및 Google의 AI Agent Development Kit에 대한 확인된 중대 영향을 포함합니다.
왜 중요한가
Google의 AI Agent Development Kit는 핵심 AI 에이전트 개발 인프라 프로젝트입니다. 단일 풀 요청을 통한 CI 파이프라인의 손상은 Google의 CI 환경에 클라우드 소유자 수준 접근권을 부여합니다. AI 코딩 에이전트는 취약한 CI/CD 패턴의 확산을 가속화하는 것으로 구체적으로 언급됩니다 — 생성되지 않은 경우 생태계 전반의 규모 있는 보안 YAML 위험이 있습니다. 이는 AI 개발 도구 체인에 대한 체계적 공급망 위험입니다.
공격 경로
무료 GitHub 계정만 있는 공격자가 악의적 풀 요청 또는 PR 댓글을 제출합니다. GitHub Actions YAML의 불안전한 신뢰 경계 교차는 신뢰할 수 없는 PR 콘텐츠가 높은 권한 워크플로우로 흐르도록 허용하며, CI 러너에서 공격자 코드를 실행하고 만료되지 않은 GitHub App 키, 클라우드 자격증명 또는 패키지 서명 토큰을 탈취합니다. Google AI ADK에서 단일 PR은 관련 Google Cloud 프로젝트에 대한 인증된 제어를 달성했습니다.
영향받는 시스템
주요 AI 및 소프트웨어 프로젝트 전반의 GitHub Actions CI/CD 워크플로우; 확인됨: Google AI Agent Development Kit (adk-samples), Microsoft Azure Sentinel, Apache Doris, Cloudflare Workers SDK, Python Software Foundation Black — 30,000개 스캔에서 300개 이상 저장소 검증 악용 가능
완화 방안
모든 GitHub Actions .yml 파일을 pull_request_target 트리거와 비밀/권한 단계 간의 신뢰 경계 위반에 대해 감사하세요. 워크플로우 토큰에 최소 권한 원칙을 적용하세요. 영향받은 조직(Microsoft, Google, Apache, Cloudflare, PSF)이 수정 프로그램을 적용했습니다. Novee 연구: https://novee.security/blog/cordyceps/