무슨 일이 있었나
Novee Security는 2026년 6월 23일 Google의 AI 에이전트 개발 키트(ADK), Microsoft Azure Sentinel, Apache Doris, Cloudflare Workers SDK 및 Python PSF의 Black 포매터를 포함한 약 300개 이상의 높은 프로필 리포지토리의 GitHub Actions .yml 워크플로우 파일에서 CI/CD 취약점의 체계적 클래스('Cordyceps'로 명명)를 공개했습니다. 신뢰할 수 있는 코드에 대한 실행을 제한하지 않고 pull_request_target을 사용하는 워크플로우는 무료 GitHub 계정을 가진 모든 미인증 사용자가 특권 CI 실행을 트리거하고, 코드를 주입하고, 만료되지 않는 자격 증명을 도용하고, 공급망 손상을 달성할 수 있도록 합니다. Google의 AI 에이전트 개발 키트에서 특히 정교한 풀 요청은 공격자에게 Google Cloud 프로젝트에 대한 완전한 소유자 수준 권한을 부여할 수 있습니다. Microsoft는 Azure Sentinel에 대한 영향을 확인했습니다. Novee는 약 30,000개의 리포지토리를 스캔했으며 654개의 플래그가 지정되었고 300개 이상이 완전히 악용 가능했습니다.
왜 중요한가
Google의 AI 에이전트 개발 키트는 Google이 자율 AI 에이전트 구축 및 배포를 위해 제공하는 기본 프레임워크입니다. 이 빌드 파이프라인의 공급망 손상은 전 세계 AI 개발자가 사용하는 릴리스에 악의적 코드를 주입할 수 있습니다. 이 결함은 기계 속도로 GitHub Actions YAML을 생성하는 AI 코딩 에이전트에 의해 가중되며, 동일한 안전하지 않은 패턴을 리포지토리 전체에서 지수 규모로 복제합니다. CVE가 할당되지 않았으며, GitHub 수준 패치가 없습니다. 복구에는 리포지토리별 워크플로우 구성 변경이 필요합니다.
공격 경로
무료 GitHub 계정을 가진 미인증 공격자가 풀 요청을 열거나 취약한 pull_request_target 워크플로우를 트리거하는 댓글을 게시합니다. 낮은 권한 워크플로우 출력이 높은 권한 워크플로우로 신뢰 경계를 넘어 자격 증명 도용, 코드 주입, 아티팩트 포이징 및 완전한 클라우드 프로젝트 인수를 활성화합니다.
영향받는 시스템
Google AI 에이전트 개발 키트 (ADK), Microsoft Azure Sentinel, Apache Doris, Cloudflare Workers SDK, Python PSF Black 포매터 및 300개 이상의 추가 오픈소스 리포지토리, 신뢰 제한 없이 pull_request_target을 사용하는 모든 GitHub Actions 워크플로우
완화 방안
모든 GitHub Actions 워크플로우에서 pull_request_target 사용을 감사합니다. 신뢰할 수 있는 코드 경로로 제한합니다. 최소 권한 권한을 적용합니다. 워크플로우 동작을 전체 커밋 SHA에 고정합니다. Novee 블로그: https://novee.security/blog/cordyceps — Microsoft, Google, Cloudflare, Apache, Python PSF는 책임감 있는 공개 후 수정을 적용했습니다.