定义
持续集成/持续交付 (CI/CD) 管道是自动化系统,可在代码变更提交时构建、测试和部署软件。攻击者可以通过利用配置错误的工作流文件来破坏管道,将恶意代码注入到最终软件产品中,使其在到达用户前就已被感染,而无需直接突破生产服务器。AI 开发工具特别有价值,因为它们受信任且分布广泛。
影响分析
成功破坏高价值 AI 项目的 CI/CD(例如 Google 的 AI Agent Development Kit)可以静默地为其顶部构建的每个应用程序植入后门 — 一次性影响数百万下游用户。这类漏洞被发现影响了 300+ 个存储库,包括旗舰级 AI 基础设施项目。