DevSecOps Digest
Щоденний DevSecOps дайджест

DevSecOps дайджест — 6 червня 2026

posts · 2026-06-06

Ключові новини

  1. AI-агенти в CI/CD тепер треба threat-model-ити як privileged automation. Microsoft Threat Intelligence описала кейс, де Claude Code GitHub Action міг розкрити CI/CD secrets через обробку untrusted GitHub content: issue/PR/comment payload керує агентом, а file-read/tool доступ у runner вже стає шляхом до секретів. Новий кут тут не “prompt injection exists”, а те, що GitHub issue може бути частиною supply-chain attack path.

  2. Codex-token theft показує, що AI tooling має власний secret surface. The Hacker News підсвітив атаку на npm-пакет codexui-android, який викрадав OpenAI Codex auth tokens. Це важливо для DevSecOps не як ще один npm incident, а як сигнал: developer AI credentials треба включати в секрет-інвентар, ротацію, egress monitoring і workstation hardening.

  3. MCP + Kubernetes отримали конкретний приклад privilege escalation через tool flag injection. GitLab Advisory описує CVE-2026-47250 у mcp-server-kubernetes: kubectl_generic приймав user-supplied flags без allowlist, а indirect prompt injection через pod logs міг спрямувати privileged kubeconfig до attacker-controlled endpoint. Це свіжа і практична причина не давати агентам “generic kubectl” без policy wrapper.

  4. CodeQL 2.25.6 покращив coverage саме там, де CI/CD зараз болить. GitHub повідомив про CodeQL 2.25.6: Swift 6.3.2, повніше C# 14/.NET 10, кращі heuristics для sensitive data та зміни в GitHub Actions queries. Для платформених команд це варто перетворити на план: оновити CodeQL, переглянути re-opened alerts і перевірити action pinning після SHA-256 змін.

3 матеріали, які варто прочитати

  1. Securing CI/CD in an agentic world: Claude Code GitHub Action case — сильний матеріал для threat modeling AI workflows: untrusted GitHub content, secrets, runner filesystem і external channels не можна змішувати без явних boundary.

  2. CVE-2026-47250: MCP Server Kubernetes flag injection — короткий, але дуже корисний advisory для всіх, хто дає LLM/MCP доступ до Kubernetes: generic tools повинні мати allowlist, impersonation boundaries і audit trail.

  3. CodeQL CLI 2.25.6 changelog — не хайпова стаття, зате практична: подивитися, які GitHub Actions і sensitive-data detections змінилися, і запланувати cleanup false positives / reopened findings.

Практичний takeaway

Сьогоднішній фокус — agentic CI/CD isolation. Для кожного AI workflow у GitHub Actions або Kubernetes зроби мінімальний control checklist: untrusted input окремо від secrets, generic shell/kubectl tools замінити allowlisted commands, egress обмежити, read access до runner filesystem урізати, а всі agent-generated PR/commands логувати як security-relevant events.