CodeRabbit 漏洞暴露百万代码库写入权限，AI安全警钟再响

Kudelski Security 披露了一个严重漏洞：通过在 PR 中嵌入恶意配置文件，成功诱导 CodeRabbit 执行攻击者控制的 Ruby 代码，从而实现远程代码执行（RCE）。更关键的是，攻击者借此获取了 CodeRabbit 的 GitHub App 私钥，进而获得对超过 100 万个代码库（包括私有库）的读写权限。这不仅是一次权限泄露，更是一次 AI工具供应链的深度入侵。

这起事件揭示了一个核心问题：AI工具在集成第三方分析组件时，若缺乏严格的沙箱隔离机制，极易成为攻击入口。CodeRabbit 的漏洞不仅暴露了其自身环境变量（包括 OpenAI、Anthropic 等 API 密钥），更让攻击者得以操控 GitHub 上的海量代码库，具备发起供应链攻击的能力——例如篡改开源项目、注入恶意代码、伪造发布版本。对整个开发者生态而言，这是一记警钟：AI工具的便利性若不辅以强安全架构，可能成为未来最大的不确定性。

How We Exploited CodeRabbit: From a Simple PR to RCE and Write Access on 1M Repositories

In this blog post, we explain how we got remote code execution (RCE) on CodeRabbit’s production servers, leaked their API tokens and secrets, how we could have accessed their PostgreSQL datab…

Kudelski Security ResearchNils Amiet