卡巴斯基在GitHub Actions工作流中发现了超过250,000个潜在安全隐患
卡巴斯基全球研究与分析团队(GReAT)对星标最多的代码仓库中的GitHub Actions工作流进行了一次大规模审查。研究人员借助新推出的卡巴斯基容器安全功能,发现了8个存在严重错误配置的代码仓库,这些配置可能导致供应链被入侵。
开源组件如今对于现代软件工程而言已是不可或缺。然而,它们也带来了隐蔽的供应链攻击途径,例如TeamPCP于2026年5月发起的备受瞩目的Mini Shai-Hulud攻击行动。该攻击利用了GitHub Actions构建流水线中的漏洞,导致超过 170 个 npm 和 PyPI 软件包受到污染,影响了诸如TanStack、Mistral AI以及OpenSearch等项目。总体而言,配置不当的GitHub Actions工作流会将受信任的开发管道转变为危险的入侵入口,使攻击者能够入侵自动化工作流、将恶意代码引入生产环境,或访问关键基础设施密钥。

卡巴斯基全球研究与分析团队的专家已完成对GitHub Actions工作流的评估,分析了该平台300,000个最受欢迎的星标仓库中的超过130,000条管道。研究人员利用最新卡巴斯基容器安全更新中引入的专用扫描规则集,在持续集成/持续交付(CI/CD)流程中识别出超过250,000个潜在错误配置,这凸显了不安全的配置做法已广泛存在。在分析的仓库中,仅有10%的仓库未触发任何警报。
根据卡巴斯基的分类标准,在已发现的问题中,59.8%被归类为低风险,39.8%为中等风险,0.4%属于高风险类别。最常见的问题包括隐式授予或过于宽泛的访问权限、依赖项缺少版本锁定以及工作流级别的设置不当。较少数的代码仓库存在暴露顶级密钥、使用不安全的运行条件或不安全地处理外部数据等问题,这些问题可能导致更为严重的入侵。
在被识别为高风险的200个代码仓库中,该团队发现了8个存在严重缺陷的仓库,这些缺陷可能导致供应链被入侵。受影响的代码库涉及广泛的应用场景,包括企业环境中的AI集成、开发者和自动化服务以及安全测试工具。已发现的严重问题已报告给相应的开发者。
“过去一年中,我们观察到了严重的供应链攻击,而这些攻击本可以通过遵循安全的CI/CD配置指南来加以防范,”卡巴斯基GReAT首席安全研究员Leonid Bezvershenko表示:“虽然暴露出的问题并不直接等同于可被利用的漏洞,但它们指出了开发人员应当验证并加强配置的领域。通过及早识别这些薄弱环节,企业可以构建更具韧性的开发管道,并降低供应链遭到破坏的风险。我们为容器安全解决方案制定的规则,提供了一个切实可行的框架,可在这些漏洞被利用之前将其识别并修复。”
为了检测并消除由错误配置引起的潜在安全问题,卡巴斯基容器安全的用户可以利用GitHub仓库扫描功能,无论该功能是直接嵌入到CI/CD管道中,还是以独立模式运行。
有关本研究的更多详情,请参阅卡巴斯基日报。
更多有关卡巴斯基工期安全的详情,请点击这个链接。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全与数字隐私公司。凭借其网络免疫概念,卡巴斯基致力于推动行业创新,保护消费者、企业、关键基础设施及政府机构免受网络威胁。迄今为止,已有超过十亿台设备受到卡巴斯基的保护。
卡巴斯基确保“忠于业务”的网络安全,专注于提供明确的结果、保护营收、减轻工作负载并防止系统停机。卡巴斯基深厚的威胁情报和安全专业知识不断转化为适用于各种规模组织(从小型企业到大型企业)的创新解决方案和服务,将经过验证的 AI 驱动防护技术与简单的管理和专家支持相结合。
卡巴斯基广受独立测试机构认可,并获得全球数百万个人用户及近20万家企业的信赖。我们助力客户更早发现威胁、更快做出响应,并以更大的信心和自由度开展业务,从而保护客户最核心的价值。了解更多信息,请访问 www.kaspersky.com。
1.本网刊载内容,凡注明来源为“飞象网”和“飞象原创”皆属飞象网版权所有,未经允许禁止转载、摘编及镜像,违者必究。对于经过授权可以转载,请必须保持转载文章、图像、音视频的完整性,并完整标注作者信息和飞象网来源。
2.凡注明“来源:XXXX”的作品,均转载自其它媒体,在于传播更多行业信息,并不代表本网赞同其观点和对其真实性负责。
3.如因作品内容、版权和其它问题,请在相关作品刊发之日起30日内与本网联系,我们将第一时间予以处理。
本站联系电话为86-010-87765777,邮件后缀为cctime.com,冒充本站员工以任何其他联系方式,进行的“内容核实”、“商务联系”等行为,均不能代表本站。本站拥有对此声明的最终解释权。
豆包、千问下线用户自建智能体功能 行业进入规范化发展新阶段
7月4日,豆包、千问两大AI产品相继发布通知,宣布旗下智能体功能将于7月15日正式下线,同时提示用户尽快备份自建智能体配置、历史对话等重要数据。而这个下线日期,恰好是五部委《人工智能拟..[详细]
从流量到 Token:电信行业锚定“Token经营”新增长
在2026年MWC上海大会期间,5G-A、6G、天地一体通信、通智一体、具身智能等大量新技术、新产品精彩纷呈,非常亮眼,不过相比之下,涉及Token(词元)的演讲、展示内容更多,使得“Token经营”成..[详细]
专访高通庄思民:面向词元经济形态的6G,确保全球把握AI机遇
走进MWC上海展区,就能直观感受到传统通信网络在AI时代所发生的变化,不仅有一部部的手机,还多了形态各异的可穿戴设备,以及一辆辆的汽车。即便是传统的手..[详细]
智元彭志辉:当AI走出屏幕,谁在消耗下一个万亿Token?
“未来最大的Token消耗者,将是现实世界里的具身智能体。”对具身智能体拥有如此巨大“胃口”这个结论,是在MWC2026世界移动通信大会上,智元机器人联合创始人、总裁兼CTO彭志辉提出的。之所..[详细]
直播 | 2026工业互联网大会
2026年作为“十五五”规划开局关键之年,我国工业互联网建设迈入规模化落地、全产业链深度渗透新阶段,全国工业互联网已实现所有41个工业大类全覆盖,成为驱动实体经济提质增效的核心数字基..[详细]
MWC26上海观察:从工具变成伙伴,AI加速走向“实用”
2026年6月26日,2026年上海世界移动通信大会(MWC26上海)落下帷幕。作为全球移动通信与数字科技的年度风向标,从本届展会“众智启新”的主题不难发现,AI依然是唯一的主角。[详细]













