云安全联盟实验室近日发布研究,披露AI编程Agent集成进CI/CD之后出现的新型供应链威胁。传统供应链攻击往往要求攻击者获取高权限写访问,而AI Agent让门槛大幅下降,任何持有免费GitHub账号的外部用户,只要能在目标仓库提交Issue或PR,就有机会触发自动化Agent执行恶意动作。Claude Code Action、谷歌Gemini CLI、GitHub Copilot Agent等具备自动响应能力的工具,在效率提升的同时也暴露了相同结构性弱点。攻击面扩大带来的不只是担心,更是可以预测的高频发生概率。

研究详述一月份由GMO Flatt Security的RyotaK披露的关键漏洞。该漏洞出现在claude-code-action的checkWritePermissions函数,它无条件放行actor标识以bot结尾的调用方。攻击者只需注册一个GitHub App并安装到自有仓库,即可用其installation token在任意启用该Action的目标仓库提交包含提示注入payload的Issue。Claude Code允许cat、head等基础bash命令而无须独立人工审批,所以一旦Agent读入恶意内容,即可读取proc下的self environ文件拿到OIDC token,继而换得anthropics/claude-code-action自身的写权限,实现源代码投毒。

Anthropic在收到报告后四天内即完成修复,改进版本号为claude-code-action v1.0.94与@anthropic-ai/claude-code v1.0.93,核心修复点包括新增checkHumanActor校验、关闭默认workflow summary、自定义gh命令wrapper过滤外泄URL,以及对子进程环境变量做脱敏。该漏洞最终编号CVE-2025-66032,CVSS 3.1评分8.7,CSA特别强调相同模式已在多平台重现,因此属于行业级供应链风险。在Cline等编辑器里出现的一行Issue即可渗透生产版本的Clinejection攻击,是同一思路的复刻,再次证明修复单点远不足以消除这一类风险。

CSA呼吁企业尽快采用MAESTRO框架对Agentic AI做威胁建模,把提示注入与传统供应链攻击并列评估。对于日常运营而言,这意味着几件可立即执行的事:固定所有依赖GitHub Action到具体commit SHA而非浮动tag、为Agent工具启用严格模式并禁用敏感命令、对所有workflow summary默认关闭。本轮事件确认,Agentic AI编程进入CI/CD既是效率变革,也是攻击面革命,治理动作必须与代码改动同时落地。只有在Day 1就以最高安全标准配置Agent工具,企业才能在风险与效率之间走出可持续的路径。
OpenClaw—AI研究