Woofun AI 關注到，一種名爲 "Cordyceps" 的高風險漏洞已在 CI/CD 系統中被披露，波及微軟、谷歌、Apache 及 Cloudflare 等知名企業的開源代碼倉庫。

攻擊者無需企業賬戶或系統權限，僅需註冊免費 GitHub 賬戶並提交惡意 pull request，通過評論僞造審批流程即可竊取服務器密鑰、推送惡意代碼，進而完全控制相關代碼倉庫。