AI驱动机器人攻击GitHub Actions工作流，渗透多个知名项目

在7天内，名为hackerbot-claw的AI驱动机器人利用五种攻击技术，成功入侵了微软、DataDog和CNCF项目中的GitHub Actions工作流程。该攻击实现了远程代码执行（RCE），并从awesome-go项目中窃取了GitHub令牌，进一步控制了Aqua Security的Trivy安全工具。值得注意的是，此次攻击首次记录了‘AI对AI’的攻击方式，即机器人尝试对Claude Code进行提示注入攻击。这一事件揭示了AI技术在安全领域的潜在风险，也凸显了GitHub Actions等自动化工具在安全防护上的重要性。