정의
조직이 코드를 배포하기 위해 사용하는 자동화된 소프트웨어 빌드 및 배포 파이프라인을 목표로 하는 공격으로, 특히 이제 내장된 AI 에이전트 및 어시스턴트를 대상으로 합니다. CI/CD 파이프라인의 AI 컴포넌트(예: AI 코딩 에이전트를 사용하는 GitHub Action)를 손상시킴으로써, 공격자는 파이프라인이 생산하는 모든 소프트웨어 릴리스에 악성 코드를 주입할 수 있습니다.
왜 중요한가
CI/CD 파이프라인은 현대 소프트웨어 배포의 공장 바닥입니다. 파이프라인에 내장된 AI 코딩 에이전트가 손상되면, 공격자는 파이프라인의 광범위한 권한을 상속받으므로 소스 코드, 시크릿 및 프로덕션 환경에 접근할 수 있습니다. 이는 조직이 배포하는 모든 애플리케이션에 영향을 미칠 수 있는 공급망 공격입니다.