Haziran 2026'da Novee Security araştırmacıları, Cordyceps adını verdikleri bir CI/CD zafiyet sınıfını keşfetti. npm, PyPI, crates.io ve Go ekosistemlerinde 30.000'den fazla yüksek etkili depoyu tarayan ekip, 654'ünü işaretledi ve 300'den fazlasının tamamen istismar edilebilir olduğunu doğruladı. Etkilenen araçlar arasında Microsoft, Google, Apache, Cloudflare ve Python Yazılım Vakfı'nın projeleri yer alırken, saldırganın tek ihtiyacı ücretsiz bir GitHub hesabıydı; organizasyon üyeliği veya yüksek ayrıcalıklar gerekmiyordu. İlginç olan, tüm bu boru hatlarının (pipeline) yeşil yani güvenli görünmesiydi: tarayıcılar çalışıyor, kontroller geçiyor ve panolar sağlıklı sonuçlar raporluyordu. Sorun şu ki tarayıcılar bu tehlikeyi görmek için tasarlanmamıştı.
Zafiyet, tek bir dosyadan değil, iş akışlarının birleşiminden kaynaklanıyor. GitHub Actions'ta genellikle pull_request tetikleyicisi kullanılır, ancak pull_request_target ve workflow_run tetikleyicileri, temel depo bağlamında çalışarak sırlara ve yazma yetkisine sahip GITHUB_TOKEN'a erişir. Saldırgan, bu tetikleyicileri kullanarak kendi kontrolündeki içeriği iş akışına enjekte edebilir. Üç temel saldırı vektörü var: komut enjeksiyonu (branchname, title gibi verilerin shell komutuna kaçışsız eklenmesi), actions/github-script ile kod enjeksiyonu (JavaScript çalıştırma) ve çapraz iş akışı ayrıcalık yükseltme (düşük ayrıcalıklı iş akışının veriyi bir yapıta yazması, yüksek ayrıcalıklı iş akışının okuması). Her iş akışı tek başına güvenli, ancak birleşince zafiyet oluşuyor. SAST/DAST araçları tek bir dosyaya bakar ve her dosya geçerli YAML olduğu için tarayıcılar yeşil kalıyor.
Novee, Microsoft'un Azure Sentinel deposunda bir pull request yorumunun anonim saldırgan kodunu Microsoft'un CI'sında çalıştırabildiğini ve süresi dolmayan bir GitHub App anahtarını çalabildiğini gösterdi. Sentinel, birçok kuruluşun saldırı tespiti için kullandığı güvenlik içeriğini barındırıyor; çalınan anahtarla bu içerik sessizce zayıflatılabilir ve güvenilir güncelleme olarak dağıtılabilir. Google'ın AI Agent Development Kit örnek deposunda da benzer bir zafiyetle Google Cloud projesinde kalıcı owner erişimi elde edilebiliyordu. Apache Doris'te de aynı sorun tespit edildi. Üç kuruluş, aynı kompozisyon sorunu, ancak tarayıcının işaret edebileceği tek bir kod satırı yok.
Teknik Analiz
Bu zafiyet, denetlenmemiş güven sınırlarından kaynaklanıyor. AI araçlarıyla üretilen iş akışları, bu riski katlayarak artırıyor. Novee, Cordyceps'in vahşi ortamda istismar edildiğine dair kanıt bulamasa da, bu bir CVE olarak kayıtlı olmadığı için standart güvenlik sistemleri tarafından tespit edilemiyor. Korunmak için pull_request yerine pull_request_target kullanmaktan kaçının, ayrıcalıklı iş akışlarında pull request kodunu checkout etmeyin, olay verilerini alıntılanmış env değişkeniyle geçirin, varsayılan izinleri salt okunur yapın, üçüncü taraf eylemleri commit SHA ile sabitleyin ve ilk kez katkıda bulunanlar için manuel onay kullanın. Ayrıca, kaynağında denetim yaparak boru hattınıza neyin girdiğini yönetin. Yeşil tarayıcılara güvenmeyin; risk, birleşimde gizli.