Woofun AI 关注到，一种名为 "Cordyceps" 的高风险漏洞已在 CI/CD 系统中被披露，波及微软、谷歌、Apache 及 Cloudflare 等知名企业的开源代码仓库。

攻击者无需企业账户或系统权限，仅需注册免费 GitHub 账户并提交恶意 pull request，通过评论伪造审批流程即可窃取服务器密钥、推送恶意代码，进而完全控制相关代码仓库。