TaintAWI：检测GitHub Actions中的智能体工作流注入攻击

本文介绍了TaintAWI——首个系统性研究GitHub Actions中智能体工作流注入（AWI）漏洞的工具。该工具通过污点分析在13,392个工作流中发现519个潜在漏洞，其中343个为零日漏洞，精确率达95.6%。研究揭示了AWI攻击的核心机制、实际影响，并提出防御建议，填补了AI安全与DevSecOps交叉领域的空白。

GitHub Actions作为流行CI/CD平台，正被广泛用于部署基于LLM的智能体，执行issue分类、PR审查等任务提升效率。但AI能力与CI/CD自动化结合时，产生了新的安全攻击面。本文聚焦智能体工作流注入（AWI）威胁，其与传统代码注入不同，通过操纵智能体输入上下文间接控制行为，更隐蔽。

AWI是工作流级注入缺陷，利用GitHub事件上下文（如issue正文、PR描述）操纵智能体行为。研究识别两种模式：

1. Prompt-to-Agent（P2A）：不可信内容直接进入智能体提示词，类似提示词注入但在CI/CD上下文；
2. Prompt-to-Script（P2S）：攻击者影响智能体生成输出，传播到后续脚本执行。

TaintAWI基于污点分析技术，追踪不可信事件上下文到智能体提示词或敏感工作流接收点的数据流。构建步骤：

• 分析1,033个真实AI辅助Actions，提取AWI污点规范（提示词边界、派生输出等）；
• 将工作流解析为中间表示，识别数据源（不可信输入）和汇聚点（智能体调用、脚本执行）；
• 静态分析追踪数据流路径，标记潜在漏洞。

研究团队用TaintAWI扫描10,792个仓库的13,392个工作流，发现519个潜在漏洞，其中496个可利用（精确率95.6%），343个为零日漏洞。向维护者披露187个高优先级案例，24个已被确认修复。许多流行开源项目（含数万星标仓库）存在AWI风险。

AWI漏洞影响取决于智能体权限，严重场景包括：

• 代码篡改：诱导智能体批准恶意修改或生成后门补丁；
• 凭证窃取：外泄环境变量、密钥到攻击者服务器；
• 工作流劫持：修改配置植入持久恶意自动化；
• 供应链投毒：通过自动发布推送恶意代码到包管理器。攻击隐蔽，传统监控难区分。

基于研究，作者提出防御建议：

1. 输入隔离：用明确边界标记分离用户内容与系统指令，采用结构化提示词；
2. 最小权限：为工作流配置最小必要权限，关键操作需人工确认；
3. 输出验证：清理智能体生成输出，限制内容类型；
4. 审计监控：建立行为日志，监控异常模式；
5. 安全测试：将AWI测试纳入CI/CD评估，用静态分析工具检测风险。

本研究首次系统性揭示智能体工作流安全风险，填补AI安全与DevSecOps交叉领域空白。未来方向：扩展到GitLab CI等平台、研究多智能体协作攻击、开发运行时防御机制。对采用AI自动化的团队，需将智能体工作流纳入安全威胁模型。