事件经过
来自弗吉尼亚理工学院、AI安全公司伦敦分公司和德克萨斯大学的研究人员发表了"GitInject"(arXiv 2606.09935,提交于2026年6月7日)——一个开源框架,可配置实时GitHub存储库并触发实际CI/CD工作流运行以评估提示注入。在四个AI提供商上测试Claude Code Action、Codex Action和Gemini CLI Action,他们记录了包括配置文件注入、凭证泄露、判断操纵和可用性攻击在内的11种命名攻击;每个提供商在其默认配置中至少易受一种攻击类别的影响。
影响分析
该研究证明了AI CI/CD代理以"致命三角"(访问私人数据、不受信任的内容摄入、外部通信)运行,以及配置文件注入——攻击者向PR分支添加CLAUDE.md或AGENTS.md——是最危险的向量,因为代理在PR内容之前将其作为权威的操作员级指令加载。这是第一个系统的真实环境(而非模拟)AI CI/CD安全研究,建立了最少成本的对策并为防御者提供了可重用的工具。
建议行动
安全团队应立即针对自己的AI驱动CI/CD工作流运行GitInject;至少,限制哪些分支可以加载CLAUDE.md/AGENTS.md文件,并为来自fork贡献者的PR事件强制执行只读GITHUB_TOKEN权限。