정의
Continuous Integration / Continuous Delivery (CI/CD) 파이프라인은 코드 변경사항이 제출될 때마다 소프트웨어를 자동으로 빌드, 테스트, 배포하는 자동화된 시스템입니다. 파이프라인을 손상시키는 행위(종종 잘못 구성된 워크플로우 파일을 악용하여)는 공격자가 최종 소프트웨어 제품이 사용자에게 도달하기 전에 악성 코드를 주입할 수 있게 하며, 프로덕션 서버에 직접 침입할 필요가 없습니다. AI 개발 도구는 신뢰받고 광범위하게 배포되기 때문에 특히 가치 있는 대상입니다.
왜 중요한가
Google의 AI Agent Development Kit과 같은 고가치 AI 프로젝트의 성공적인 CI/CD 손상은 이를 기반으로 구축된 모든 애플리케이션을 은밀하게 백도어할 수 있으며, 한 번에 수백만 명의 다운스트림 사용자에게 영향을 미칩니다. 이 클래스의 취약점은 주요 AI 인프라 프로젝트를 포함한 300개 이상의 저장소에서 발견되었습니다.