タグ: GitHub Actions

cyberpress.org

「GitLost」攻撃、GitHub Issuesを悪用しAIエージェントのコメント経由でプライベートリポジトリのデータを窃取

GitHubのAgentic Workflowsに存在するプロンプトインジェクションの脆弱性により、未認証の攻撃者が公開リポジトリに細工したissueを投稿するだけで、プライベートリポジトリの内容を窃取できることが判明しました。 Noma Security傘下の研究部門であるNoma Labsのセキュリティ研究者は、

cyberpress.org

Gemini CLI の重大な脆弱性、CIワークフローをコマンドインジェクション攻撃にさらす

GoogleのGemini CLIおよびGitHub Actionのrun-gemini-cliに、最大深刻度の脆弱性が公表されました。この脆弱性により、権限を持たないリモート攻撃者が、エージェントのサンドボックスが初期化される前にホスト上で任意のOSコマンドを実行できます。 CVE-2026-12537として追跡さ

gbhackers.com

Google Gemini CLIの重大な脆弱性、ヘッドレスCIプラットフォームで攻撃者によるコード実行を可能に

GoogleのGemini CLIおよび関連するrun-gemini-cli GitHub Actionに重大な脆弱性が確認されました。この欠陥により、信頼できないワークスペースを処理する際に、ヘッドレス型継続的インテグレーション(CI)プラットフォームがホストレベルのコード実行攻撃にさらされる可能性があります。 G

darkreading.com

MiasmaサプライチェーンワームがMicrosoftの73リポジトリに侵入

5分で読めます悪名高いShai-Huludワームの亜種がMicrosoftのコードリポジトリに大混乱をもたらし、CI/CDワークフローの障害を引き起こすとともに、ソフトウェアサプライチェーンへの脅威が高まっているという懸念が深刻化しています。6月5日に展開されたこの攻撃は、セキュリティ研究者向けのオンラインコラボレーシ

gbhackers.com

MicrosoftがClaude Code GitHub Actionの警告を発表――CI/CDシークレットが漏洩する恐れ

AnthropicのClaude Code GitHub Actionは、AIエージェントが信頼できないGitHubコンテンツを処理する際に、CI/CDワークフローのシークレットを意図せず漏洩させる可能性があります。 このリスクが生じる原因は、エージェントがファイルを読み込む際に使用する一部のツールが、Bashのよう