事件经过
Novee Security于2026年6月23日披露了GitHub Actions .yml工作流文件中的一类系统性CI/CD漏洞(名为"Cordyceps"),涉及约300+高知名度存储库,包括Google的AI代理开发工具包(ADK)、Microsoft Azure Sentinel、Apache Doris、Cloudflare Workers SDK和Python PSF的Black格式化器。使用pull_request_target但不限制执行到受信代码的工作流允许任何拥有免费GitHub账户的未认证用户触发特权CI运行、注入代码、窃取非过期凭证并实现供应链破坏。在Google AI代理开发工具包上,特别精心设计的拉取请求可以向攻击者授予Google Cloud项目的完整所有者级权限。Microsoft确认了对Azure Sentinel的影响。Novee扫描了约30,000个仓库,发现654个标记且300+完全可利用。
影响分析
Google AI代理开发工具包是Google为构建和部署自主AI代理而发货的主要框架。其构建管道的供应链破坏可能会将恶意代码注入全球AI开发者消费的版本。该缺陷因AI编码代理以机器速度生成GitHub Actions YAML而加重,跨存储库以指数级规模复制相同的不安全模式。未分配CVE;无GitHub级别补丁 — 修复需要逐个仓库的工作流配置更改。
攻击途径
拥有免费GitHub账户的未认证攻击者打开拉取请求或发布评论,触发易受攻击的pull_request_target工作流;低权限工作流输出跨越信任边界到高权限工作流,使凭证窃取、代码注入、工件污染和完整云项目接管成为可能
受影响系统
Google AI代理开发工具包(ADK)、Microsoft Azure Sentinel、Apache Doris、Cloudflare Workers SDK、Python PSF Black格式化器以及300+其他开源存储库;任何使用pull_request_target但未采用信任限制的GitHub Actions工作流
缓解措施
审计所有GitHub Actions工作流以检查pull_request_target使用;限制为受信代码路径;应用最小权限原则;将工作流操作固定为完整提交SHA。Novee博客:https://novee.security/blog/cordyceps — Microsoft、Google、Cloudflare、Apache、Python PSF在负责任披露后应用了修复。