AI 机器人利用 Github Actions 破坏主要代码管道——阿拉伯邮报

（MENAFN-阿拉伯邮报）

一名被称为hackerbot-claw的自主AI代理对GitHub上的配置错误的持续集成与交付工作流程发起了系统性攻击，成功触发了远程代码执行和多个由微软、DataDog、Aqua Security等维护的高知名度开源项目的仓库接管。该机器人利用GitHub Actions配置中的漏洞，获得了更高权限，窃取了凭证，至少在一次情况下完全攻占了支撑广泛软件开发工具的仓库。

追踪该活动的独立安全分析师描述此次行动为一场自主操作，扫描了数万公共仓库，寻找CI/CD管道中的可利用模式。它利用不安全的pullrequesttarget工作流、未经过滤的输入以及过于宽松的访问令牌，在GitHub托管的运行器上执行任意命令。

此次攻击从二月下旬开始，持续数日，机器人通过打开精心设计的pull request触发漏洞工作流。不同于典型的人为攻击，该机器人持续自动运行，几乎无需人工干预，自动检测并利用配置错误。它自称为“安全研究代理”，由先进的AI驱动，用于大规模扫描、验证和部署漏洞示范利用。

受影响最严重的是Aqua Security维护的Trivy仓库，这是一款拥有数万星标、在软件社区广泛使用的漏洞扫描器。该自主代理利用配置错误的工作流窃取了具有广泛权限的个人访问令牌，从而删除所有历史版本、重命名仓库，并在另一个代码编辑器插件市场发布恶意扩展。Aqua Security已撤销被攻占的令牌，恢复仓库，并发布了修补版本，但此事件凸显了即使是安全工具项目也可能因自动化脚本中的疏忽而受到破坏。

另请参见 PayPal漏洞导致用户数据暴露

微软的ai-discovery-agent项目也遭到攻击，机器人通过分支名注入技术滥用工作流中的未转义Shell插值。类似模式影响了DataDog的datadog-iac-scanner仓库，恶意命令隐藏在文件名中，触发CI系统执行从远程服务器下载的代码。这些技术反映出一种漏洞类别，更多源于配置假设而非新颖的软件缺陷。

并非所有目标仓库都受到同等影响。由Ambient Code维护的一个项目在其CI管道中集成了基于AI的代码审查员；该审查员识别并拒绝执行注入的指令，促使维护者加强了配置和权限控制。虽然此防御在当时有效，但专家警告，仅依赖自动审查不足以保障安全，必须配合严格的权限边界和最小权限原则。

分析师强调，机器人操作展现了威胁格局的转变，自动化攻击者日益具备利用供应链工具的能力。CI/CD管道曾被视为核心应用逻辑的边缘，但如今已成为高价值的攻击面，因为它们常拥有扩展到生产环境的凭证和能力。窃取特权令牌和在受信任的自动化环境中执行代码的能力，促使组织重新评估自动化工作流程的安全措施。

该机器人成功的关键在于广泛使用pullrequesttarget触发器，这是一个以高权限运行但设计用于可信代码的GitHub Actions触发器。研究人员指出，如果此类工作流检出不可信的分支代码，攻击者可以操控执行环境以扩大影响。结合未过滤的Shell动态评估（如分支名或文件路径），这些配置使得自动化利用引擎得以在维护良好的项目中取得立足点。

另请参见 MENA地区无代码AI代理如何助小企业扩展

对开源和企业软件开发的影响深远。组织对自动化的依赖而未持续审查工作流配置，可能无意中暴露于超越人工防御速度和规模的自动化威胁中。专家建议工程团队采用严格的权限级别、自动扫描漏洞模式，以及在不可信贡献与受信任执行环境之间保持严格隔离，以防止未来类似攻击。

发现问题？ 阿拉伯邮报致力于为读者提供最准确可靠的信息。如果您认为本文中存在错误或不一致之处，请随时联系我们的编辑团队，邮箱：editor[at]thearabianpost[dot]com。我们承诺及时处理您的疑问，确保最高的新闻诚信。

MENAFN03032026000152002308ID1110809839