הפרסום האחרון על הפריצה בקודרביט הוא קריאת חובה:

https://research.kudelskisecurity.com/2025/08/19/how-we-exploited-coderabbit-from-a-simple-pr-to-rce-and-write-access-on-1m-repositories/

בקצרה קודרביט העלו סביבת Code Review בענן. מהסביבה הזאת הם הגדירו גישה לכל הנכסים הפרטיים שלהם כולל לבסיס הנתונים ומפתחות פרטיים. בנוסף לתוך הסביבה הזאת הם טענו את הקוד של המשתמשים להם היה צריך לעשות Code Review ונתנו ל AI לרוץ בתוך כל המרק הזה כדי לקרוא את קוד המשתמשים ולהבין אותו. וכאילו שזה לא מספיק מזעזע עד לפה הם גם איפשרו למשתמשים להגדיר כלי בדיקה משלהם וכך גרמו לכשל "הרצת קוד מרחוק" על אותה סביבת בדיקות - כלומר משתמש זדוני יכל לטעון כל סקריפט ולהריץ אותו בתוך הסביבה הפרטית של קודרביט ולהגיע לכל המידע של החברה.

ולמה זה מעניין? כי מעבר לכל ההייפ של קודרביט צריך לזכור שאם נתתי לקודרביט גישה למאגרי הגיטהאב שלי כדי לקבל Code Review ועכשיו מישהו זדוני לוקח את מפתחות הגישה של קודרביט אותו גורם זדוני מקבל גישה מלאה למאגרי הגיטהאב שלי.

מה עושים? קודם כל קצת נרגעים מההייפ של ה AI. זה שחברה מפורסמת ומופיעה ראשונה בגוגל כנראה לא אומר הרבה על רמת הנדסת התוכנה שלהם. אחרי זה הולכים לבדוק את המערכות שאנחנו כותבים ולוודא שאנחנו לא נותנים הרשאות מעבר למינימום הנדרש לשום חלק במערכת. ובסוף כדאי להגיע לדף הזה בגיטהאב:

https://github.com/settings/apps/authorizations

למצוא את כל היישומים שיש להם גישה למאגרים שלכם ולמחוק גישה של כל מה שאתם לא משתמשים בו. אי אפשר לדעת מי החובבן הבא ומה הוא עושה עם הטוקנים שלכם.