3月23日消息,慢雾创始人余弦在社交媒体上发文表示,「利用GitHub Actions CI/CD机制供应链攻击Coinbase,所幸没有继续成功,否则下一个被爆的安全事件就是针对Coinbase了。在GitHub上的供应链攻击路径:reviewdog/action-设置-> tj-actions/changed-files -> coinbase/agentkit ->窃取GitHub个人访问令牌 (PAT)、云服务有关密钥等。余弦建议,如果企业用到reviewdog或tj-actions,应该进行自查。」