一个名为“TeamPCP”的恶意行为者于 2026 年 3 月 19 日至 3 月 24 日期间,通过强制推送其 GitHub Actions 仓库上的可变标签,攻破了 Trivy 和 KICS 等流行的安全工具。这使得攻击者能够将恶意代码注入到未固定到特定提交 SHA 的 CI 管道中,从而导致敏感数据(如密钥、SSH 密钥和云凭证)被窃取。为缓解此风险,建议用户将 GitHub Actions 固定到不可变的提交 SHA,审核其工作流权限,并考虑使用 `github-actions-audit` 或 `zizmor` 等安全工具进行持续监控。 AI
影响 突显了 CI/CD 管道中关键的供应链漏洞,影响了 AI 应用的安全部署。
排序理由 该集群详细介绍了一场广泛的供应链攻击,影响了多个流行的 CI/CD 工具,可能导致数据泄露。[lever_c_demoted from significant: ic=1 ai=0.7]
AI 生成摘要 · Google Gemini · 来自 1 个来源。 我们如何撰写摘要 →