事件经过
Novee 安全研究员 Elad Meged 于 2026-06-23 披露了 Cordyceps:GitHub Actions 工作流中的多步 CI/CD 利用链的系统性类别,其中不可信的外部数据 (PR 内容、注释、分支名称) 跨越信任边界进入高权限工作流步骤。标准扫描器会错过它,因为每个单独的步骤看起来都是无害的;漏洞仅存在于组合中。Novee 验证了来自 30,000 个仓库扫描的 300 多个完全可利用的链,并确认对 Microsoft Azure Sentinel 和 Google AI Agent Development Kit 的关键影响。
影响分析
Google AI Agent Development Kit 是关键的 AI 代理开发基础设施项目。通过单个拉取请求入侵其 CI 管道会授予 Google CI 环境的云所有者级别访问权限。AI 编码代理特别被指出会加速易受攻击 CI/CD 模式的传播 — 在整个生态系统中大规模生成不安全的 YAML。这是 AI 开发工具链的系统性供应链风险。
攻击途径
仅拥有免费 GitHub 账户的攻击者提交恶意拉取请求或 PR 注释;GitHub Actions YAML 中的不安全信任边界交叉允许不可信的 PR 内容流入高权限工作流,在 CI 运行器上执行攻击者代码并窃取非过期 GitHub App 密钥、云凭证或包签名令牌。在 Google AI ADK 上,单个 PR 获得了对关联 Google Cloud 项目的经过身份验证的控制。
受影响系统
重大 AI 和软件项目中的 GitHub Actions CI/CD 工作流;已确认:Google AI Agent Development Kit (adk-samples)、Microsoft Azure Sentinel、Apache Doris、Cloudflare Workers SDK、Python Software Foundation Black — 从 30,000 个扫描的仓库中验证了 300 多个可利用的仓库
缓解措施
审计所有 GitHub Actions .yml 文件以查找 pull_request_target 触发器和 secrets/privileged 步骤之间的信任边界违规。应用最小权限原则到工作流令牌。受影响的组织 (Microsoft、Google、Apache、Cloudflare、PSF) 已应用修复。Novee 研究:https://novee.security/blog/cordyceps/