정의
조직이 코드를 배포하기 위해 사용하는 자동화된 소프트웨어 빌드 및 배포 파이프라인을 목표로 하는 공격—특히 이제 파이프라인 내에 내장된 AI 에이전트 및 어시스턴트를 노린다. CI/CD 파이프라인의 AI 구성 요소(예: AI 코딩 에이전트를 사용하는 GitHub Action)를 손상시키면, 공격자는 파이프라인이 생성하는 모든 소프트웨어 릴리스에 악성 코드를 주입할 수 있다.
왜 중요한가
CI/CD 파이프라인은 현대적 소프트웨어 배포의 생산 현장이다. 파이프라인에 내장된 AI 코딩 에이전트가 손상되면, 공격자는 파이프라인의 광범위한 권한을 얻게 되어—소스 코드, 비밀 정보, 프로덕션 환경에 접근할 수 있다. 이는 조직이 배포하는 모든 애플리케이션에 영향을 미칠 수 있는 공급망 공격이다.