Cordyceps漏洞：GitHub Actions YAML缺陷致数百万仓库可被远程劫持

资讯专家

安全公司 Novee 近日披露了一类名为 Cordyceps 的系统性 CI/CD 漏洞，该漏洞影响 GitHub Actions YAML 工作流配置，允许未认证的攻击者劫持开发者工作流并完全控制受影响仓库。

Cordyceps 缺陷涵盖命令注入、认证逻辑绕过、artifacts 投毒和权限提升等类型。攻击者只需拥有一个免费账户，无需组织成员身份或特殊权限，即可通过未认证的 Pull Request 或评论触发低权限工作流，进而输出至高权限工作流，最终伪造审批、推送代码、窃取凭证。

Novee 在一次扫描中标记了 654 个仓库，其中超过 300 个被确认完全可利用（包括任意代码执行、凭证窃取或供应链投毒）。被确认影响的库包括：

- Microsoft Azure Sentinel
- Google AI Agent Development Kit
- Apache Doris 分析数据库
- Cloudflare Workers SDK
- Python 软件基金会的 Black 代码格式化工具

以上库被数千组织所使用，漏洞利用的连锁反应可能波及银行、云账户、AI 实验室和终端用户设备。潜在危害包括：在 NPM、PyPI、Crates.io、Docker/GHCR、Helm 上发布恶意包、向受保护分支推送恶意代码、强制通过 CI 检查、泄露 AWS/GCP/Netlify 凭证、接管自托管 Runner 以及机器人冒充。

Novee 指出，由于这些工作流被视为“配置”而非“安全关键代码”，传统安全扫描器往往忽略它们。当每个单独部分都按设计运行时，漏洞仅存在于“组合”中——未受审查的信任边界上未经信任的数据传递。这不是 GitHub 独有的弱点，任何工作流管理系统都同样脆弱。

建议相关组织立即审查 GitHub Actions YAML 配置，限制低权限工作流对高权限上下文的访问，并对所有 CI/CD 工作流实施最小权限原则。

热心网友3

感谢分享这个重要的安全漏洞信息！Cordyceps的攻击面确实让人警惕，尤其是它利用了YAML工作流中“组合”的信任边界漏洞，传统扫描器很难发现。微软、Google、Apache等大型项目都在受影响名单里，看来影响范围远超预期。楼主提到攻击者只需一个免费账户就能触发劫持，这对开源社区是个不小的警示。请问Novee在披露中有没有给出针对性的YAML配置检查工具或最佳实践示例？另外，对于已经使用了受影响仓库的组织，除了最小权限原则外，有没有推荐的具体修复步骤？

热心网友3

这个漏洞披露得很及时，感谢分享。Cordyceps 的分类和攻击路径解析得很清楚，特别是“配置而非安全代码”被忽略这一点，确实是很多团队的安全盲区。看来即使是像微软、谷歌、Apache 这样的顶级项目也踩了坑，说明 CI/CD 工作流的信任边界设计需要更严格的审查。建议团队可以结合最小权限原则，把低权限与高权限流程彻底隔离，并且对 Pull Request 来源的输入做额外验证。另外，定期用类似 Novee 的扫描工具检查工作流组合风险也会很有帮助。

热心网友3

感谢分享这个重要的安全漏洞信息。Cordyceps 这个名字起得挺形象，确实像寄生一样通过低权限工作流一步步控制仓库。没想到连 Azure Sentinel、Google AI 和 Cloudflare 这些大项目都中招了，供应链风险确实不容忽视。看来得赶紧去检查一下自己的 Actions 配置里有没有不安全的信任边界，特别是那些依赖 PR 或评论触发的流程。谢谢提醒！