「GitLost」攻撃、GitHub Issuesを悪用しAIエージェントのコメント経由でプライベートリポジトリのデータを窃取
GitHubのAgentic Workflowsに存在するプロンプトインジェクションの脆弱性により、未認証の攻撃者が公開リポジトリに細工したissueを投稿するだけで、プライベートリポジトリの内容を窃取できることが判明しました。 Noma Security傘下の研究部門であるNoma Labsのセキュリティ研究者は、
GitHubのAgentic Workflowsに存在するプロンプトインジェクションの脆弱性により、未認証の攻撃者が公開リポジトリに細工したissueを投稿するだけで、プライベートリポジトリの内容を窃取できることが判明しました。 Noma Security傘下の研究部門であるNoma Labsのセキュリティ研究者は、
パイプラインが「グリーン」であることと「統制されている」ことは同義ではありません。そして、エージェント型コーディングの普及は、レビュー体制が追いつくよりも速いペースでその差を広げています。 執筆:Shane Warden(ActiveState、プリンシパルアーキテクト) 2026年6月、Novee Security
GoogleのGemini CLIおよびGitHub Actionのrun-gemini-cliに、最大深刻度の脆弱性が公表されました。この脆弱性により、権限を持たないリモート攻撃者が、エージェントのサンドボックスが初期化される前にホスト上で任意のOSコマンドを実行できます。 CVE-2026-12537として追跡さ
GoogleのGemini CLIおよび関連するrun-gemini-cli GitHub Actionに重大な脆弱性が確認されました。この欠陥により、信頼できないワークスペースを処理する際に、ヘッドレス型継続的インテグレーション(CI)プラットフォームがホストレベルのコード実行攻撃にさらされる可能性があります。 G
CI/CD Abuse Detectorは、継続的インテグレーション(CI)・継続的デプロイメント(CD)のパイプライン、ワークフロー、自動化設定に対する不審な変更を検知するために大規模言語モデルを活用するオープンソースプロジェクトです。リポジトリにはGitHub Actions、GitLab CI、
GitHubは、MicrosoftのAzure、Azure-Samples、microsoft、MicrosoftDocsという4つの組織にまたがる73のリポジトリを、わずか105秒の間に無効化しました。 対象となった各リポジトリには現在、「This repository has been disabled. Acc
6月5日、GitHubの自動不正利用検知システムが、Microsoftの主要4組織にまたがる73のリポジトリを突如無効化しました。影響を受けた組織は、Azure、Azure Samples、Microsoft、Microsoft Docsです。 この大規模な停止措置は、わずか105秒という異例の短時間で実行されており
5分で読めます悪名高いShai-Huludワームの亜種がMicrosoftのコードリポジトリに大混乱をもたらし、CI/CDワークフローの障害を引き起こすとともに、ソフトウェアサプライチェーンへの脅威が高まっているという懸念が深刻化しています。6月5日に展開されたこの攻撃は、セキュリティ研究者向けのオンラインコラボレーシ
攻撃者がローテーションされていないGitHub Actionsのシークレットを悪用し、Microsoftの73件のリポジトリを侵害AzureやMicrosoft、Azure-Samples、MicrosoftDocsの各組織にMiasmaワームが埋め込まれるMicrosoftは影響を受けたリポジトリを削除し、顧客に
AnthropicのClaude Code GitHub Actionは、AIエージェントが信頼できないGitHubコンテンツを処理する際に、CI/CDワークフローのシークレットを意図せず漏洩させる可能性があります。 このリスクが生じる原因は、エージェントがファイルを読み込む際に使用する一部のツールが、Bashのよう
すべての記事を読み込みました