开源 CI 模板上线：结合信号提取与 LLM 推理，检测 CI/CD 流水线滥用行为-尧图网络科技

前言

在 2025 和 2026 年，攻击者转而攻击用于部署生产服务器的自动化系统，开发者凭证被入侵、工作流文件被篡改后，CI/CD 环境中的 secret 可能流向攻击者控制的端点。攻击链为：开发者凭证被盗 → 工作流文件被修改 → CI/CD secrets 被窃取 → 横向移动至云环境与生产系统。今天正式开源[cicd-abuse-detector]，它通过基于正则表达式的信号提取以及 LLM 分析检测 CI/CD 流水线中的可疑变更，可在 GitHub Actions、GitLabCI 和 Azure DevOps 中运行，基于真实攻击技术设计。

关键要点

CI/CD 环境是高价值攻击目标，被入侵可能泄露多种凭证。该工具从 diff 中提取 50 + 条信号，交给 Claude 进行结构化威胁分析，仅依赖 bash 和 Claude Code CLI。检测模式在多种攻击性工具和真实事件中验证。项目包含 19 个恶意 diff 和 4 个良性示例，有自动化测试套件。

为什么 CI/CD 流水线是高优先级攻击目标

大规模凭证窃取

攻击者获取开发者凭证后可修改 workflow 窃取 secrets。[GhostAction campaign]在 2025 年 9 月展示规模化攻击，入侵多个用户和仓库，窃取大量 secrets。[Shai-Hulud npm worm]通过 gh auth token 获取 GitHub Personal Access Token，注入恶意代码，第一波攻击发布超 46,000 个恶意包。

高权限触发器滥用

pull_request_target 是 GitHub Actions 中危险功能，可能执行不可信 fork 的代码。[Pull Request Nightmare]研究影响了 Google、Microsoft 和 NVIDIA 维护的仓库。2026 年 2 月，[HackerBot-Claw]扫描公共仓库，使用五种利用方式，最严重案例导致 Aqua Security 的 Trivy 仓库被攻破，影响近 7,000 台机器并泄露 33,000 个 secrets。

其余攻击分类

威胁模型覆盖权限提升、runner 攻击、供应链篡改、防御规避四类攻击，分别对应 MITRE ATT&CK 的具体技术。

检测器是如何工作的

阶段 1：过滤与 diff

pull request 被创建或 push 到受保护分支时，workflow 识别变更文件并按三个层级分类，每个文件单独 diff 并限制在 10,000 字符以内。

阶段 2：信号提取

50 + 条正则表达式模式扫描 diff 识别危险模式，信号列表基于真实对抗性工具，在 19 个恶意示例 diff 上测试。检测器在三个平台运行方式一致。

阶段 3：LLM 分析

信号摘要等信息打包发送给 Claude，[分析 prompt]引导模型完成多方面分析，最终输出结构化 JSON verdict 并校验。

阶段 4：告警与拦截（Alert and gate）

根据 verdict 严重级别，workflow 执行不同动作，检测器生成的 verdict 可发送到 Elasticsearch 并写入 data stream，实现跨平台关联。

与真实攻击进行验证

将检测信号与真实攻击工具源码等对照。Nord Stream 工具在不同平台的攻击模式被示例 diff 捕获并触发相应信号；ArtiPACKED 研究的攻击模式被 `artifact-token-leak.diff` 复现；GITHUB_ENV 注入攻击被 `github-env-injection.diff` 复现并触发信号。