كشف باحثون أمنيون في شركة Novee Security عن نمط متكرر من الثغرات الأمنية في أنظمة CI/CD الخاصة بـ GitHub Actions، أطلقوا عليه اسم Cordyceps. تكمن خطورة هذا الخلل في أنه يتيح لأي مهاجم، حتى لو كان يستخدم حساباً مجانياً على GitHub ودون الحاجة لأي صلاحيات، اختراق build pipelines، وسرقة بيانات الاعتماد، وحقن كود برمجي خبيث مباشرة.
هذه الثغرة ليست مجرد احتمال نظري؛ فبعد فحص شمل نحو 30 ألف repositories كبرى ومؤثرة، رصد الفريق 654 مشروعاً مهدداً، وتأكد من إمكانية اختراق أكثر من 300 منها بشكل كامل. ولم تكن هذه المشاريع عادية، بل شملت بنى تحتية برمجية حيوية تابعة لجهات كبرى مثل مايكروسوفت، وجوجل، وأباتشي، وكلود فلير، ومؤسسة بايثون البرمجية، مما يعني أن أي اختراق هناك كان سيمتد أثره لملايين المستخدمين والأنظمة حول العالم.
أصل المشكلة يعود إلى ثغرة في طريقة إعداد ملفات YAML بشكل غير آمن. هذا الإعداد الخاطئ يسمح لمدخلات خارجية، مثل كتابة تعليق بسيط على pull request، بتجاوز جدار الأمان والوصول إلى high-privilege workflows. ونتيجة لذلك، يستطيع المهاجم تزوير الموافقات البرمجية واختراق سلاسل توريد البرمجيات، وهو ما يهدد في النهاية الشركات والمستخدمين الذين يعتمدون على هذه البرامج في مشاريعهم.
ومع أن المؤسسات المتضررة سارعت إلى سد هذه الثغرات وتأمين أنظمتها، إلا أن الباحثين يطلقون تحذيراً من نوع آخر؛ إذ يلاحظون أن AI coding agents باتت تساهم، دون قصد، في تكرار ونشر نفس هذه الأنماط البرمجية غير الآمنة في بيئات تطوير كبرى مثل npm وPyPI وGo، مما يعيد إنتاج المشكلة على نطاق أوسع.