该论文探讨了持续集成（CI）系统的信任问题，核心关注点是：即便源代码本身没有恶意代码，基于容器的CI系统仍可能被植入隐形恶意软件，且不在源码中留下任何痕迹。作者借鉴了Ken Thompson经典的编译器后门思想，证明了攻击者可以通过多种初始感染手段（例如利用CI系统的镜像拉取机制、缓存污染、或插件漏洞）入侵CI环境，随后通过绕过CI系统更新的持久化机制长期潜伏。攻击载荷包括数据窃取、在生产软件中植入后门等。此外，攻击者还能利用隐蔽信道对受感染的CI系统进行远程控制，动态更新攻击载荷或规避防御措施。作者在GitLab CI上实现了概念验证，并指出该攻击可迁移至主流CI平台。研究指出传统代码审查、静态分析等防护手段对此类攻击几近无效，揭示了现代软件供应链中一个被忽视的信任盲区。