PANews 6月25日消息，慢雾首席信息安全官23pds发文称，研究员曝光了一类名为Cordyceps的CI/CD高危风险，微软、谷歌、Apache、Cloudflare等头部企业的开源仓库全都实测中招。攻击者不用企业账号、不用任何系统权限，仅注册一个免费GitHub账号，提交一段恶意PR、留一条评论，就能伪造审批、偷取服务器密钥、推送恶意代码，完全掌控企业代码仓库。