安全厂商Aikido Security披露了一类名为PromptPwnd的AI提示注入漏洞，该漏洞出现在将Gemini CLI、Claude Code、OpenAI Codex、GitHub AI Inference等AI代理接入GitHub Actions或GitLab CI/CD时。当工作流程同时处理来自议题（Issue）和拉取请求等不可信内容，并赋予AI高权限密钥与操作工具时，攻击者可通过精心构造的文本提示，窃取凭证或篡改工作流程。

研究人员指出，至少已有5家《财富》500强企业受到影响，Google官方的Gemini CLI项目已被证实可完整复现攻击链，表明这已不再是理论风险。

此类风险主要源于维护者使用AI自动化处理议题分类与标签分配。常见做法是将Issue的标题与正文、代码提交信息直接作为LLM的提示词输入，同时在同一个CI/CD流程中配置具有写入权限的GitHub令牌和云平台访问令牌，并授权AI通过Shell命令或GitHub CLI对代码库执行操作。当攻击者在Issue文本中嵌入看似是说明文档、实则为指令的片段时，模型会误将其视为操作指令，进而调用相关工具，将密钥写入公开议题，或在代码库与讨论区执行未预期的变更。

Gemini CLI、Claude Code Actions、OpenAI Codex Actions与GitHub AI Inference等集成方案，在将不可信内容直接注入提示词、并配合高权限令牌与工具时，均存在相同风险。部分工作流程虽要求具备写入权限的协作者才能触发，但仍存在任何用户仅通过提交Issue或拉取请求即可激活AI代理的设计，进一步扩大了热门项目与大型企业代码库的攻击面。

研究人员建议企业在设计CI/CD工作流程时，应首先限制AI可调用的工具集合，避免授予任意执行Shell命令或自动编辑Issue与拉取请求的权限；其次，避免直接嵌入原始用户输入，必要时需进行格式校验与内容过滤，并始终将AI输出视为不可信结果。对于GitHub令牌与云平台访问令牌，应严格落实最小权限原则，并配合IP来源限制等管控措施。

研究人员已将用于检测此类AI提示与权限组合的OpenGrep规则开源，并在其平台提供针对GitHub与GitLab代码库的SAST与IaC扫描服务，用于识别CI/CD中同时混合不可信输入与AI输出的高风险模式。目前，研究人员正与多家大型企业合作，调整其工作流程与权限配置。