主要观点：数千个仓库使用的流行 GitHub Action 近期遭入侵，暴露开源 Actions 发布和使用方式的关键弱点，引发对 CI/CD 安全的关注。
关键信息：

• 新维护者发布含恶意代码的版本劫持了[tj-actions/changed-files]Action，触发开发者社区对 CI/CD 安全的担忧。
• 该事件凸显 Actions 供应链的攻击面，多数团队未审查导入 Actions 的安全性。
• 该 Action 用于检测拉取请求中的文件变化，恶意版本包含可远程执行代码的命令，虽短暂但暴露开发者信任和使用 GitHub Actions 的盲点。
• 事件曝光后用户发现新动作版本含可疑模式，经分析确认可窃取敏感数据，恶意负载已被删除。
• 该受侵 Action 受欢迎且揭示生态系统弱点，开发者常信任 GitHub Actions 但缺乏发布等方面的强控制。
• 安全研究人员分享缓解措施，如固定第三方 Actions 的 SHA 以确保可重复性和防止篡改等。
• 此事件引发关于 CI/CD 供应链安全的广泛讨论，许多团队未仔细审查 CI/CD 工具，而受侵 Action 可颠覆整个交付流程。
• 该事件与相邻生态系统类似问题呼应，GitHub Actions 缺乏原生的出处、沙盒或信任执行支持。
• 随着审查加强，一些工程团队开始规范评估和采用第三方自动化工具，反映出对 CI/CD 基础设施的重视。
  重要细节：
• 2025 年 3 月新维护者引入含恶意代码的 v44 版本。
• 用户注意到动作新版本的可疑 curl | bash 模式。
• StepSecurity 建议固定第三方 Actions 的 SHA 及强化 GitHub 托管运行器。
• 此事件在开发者论坛和行业研究中引发讨论，探索攻击的潜在影响范围。
• 一些团队开始重视 CI/CD 基础设施治理，如 Salesforce 制定内部标准。