PANews 6月25日消息，慢霧首席資訊安全官23pds發文稱，研究員曝光了一類名為Cordyceps的CI/CD高危風險，微軟、谷歌、Apache、Cloudflare等頭部企業的開源倉庫全都實測中招。攻擊者不用企業帳號、不用任何系統權限，僅註冊一個免費GitHub帳號，提交一段惡意PR、留一條評論，就能偽造審批、偷取伺服器金鑰、推送惡意程式碼，完全掌控企業程式碼倉庫。