定義
組織がコードを配信するために使用する自動ソフトウェアビルドおよびデプロイメントパイプライン、特にその中に組み込まれたAIエージェントおよびアシスタントを対象とした攻撃。CI/CDパイプラインのAIコンポーネント(たとえば、AIコーディングエージェントを使用するGitHub Action)を侵害することで、攻撃者はパイプラインが生成するすべてのソフトウェアリリースに悪意のあるコードを注入できます。
なぜ重要か
CI/CDパイプラインは現代的なソフトウェア配信の工場現場です。パイプラインに組み込まれたAIコーディングエージェントが侵害されると、攻撃者はパイプラインの広範な権限を継承します。これはソースコード、シークレット、本番環境に触れます。これは組織が配信するすべてのアプリケーションに影響を与える可能性があるサプライチェーン攻撃です。