该论文研究了自动化平台（如GitHub Actions和n8n）中集成的大语言模型（LLM）智能代理工作流的安全风险。随着这些平台越来越多地采用所谓的“代理工作流”（agentic workflows），即让LLM代理执行代码审查、数据同步等任务，攻击者可能通过控制某些输入（例如GitHub issue评论）来操纵LLM代理执行未授权的操作，如凭据泄露和任意命令执行。据作者所知，此前没有学术工作系统性地研究过此类风险。为此，论文提出了首个检测与利用框架JAW，通过一种名为“上下文基础演化”（Context-Grounded Evolution）的新方法来劫持自动化平台上的代理工作流。核心思想是：在混合程序分析派生的上下文基础上，演化代理工作流的输入以实现劫持。具体地，JAW通过三种分析生成代理工作流上下文：（i）静态路径可行性分析，识别可行的代理调用路径以及触发这些路径所需的输入约束；（ii）动态提示来源分析，确定输入如何被转换并嵌入到LLM上下文中；（iii）能力分析，识别代理在运行时可执行的操作和限制。在GitHub工作流和n8n模板上的评估显示，有4,714个GitHub工作流和8个n8n模板可被成功劫持，例如用于泄露用户凭据。影响范围涵盖15个广泛使用的GitHub Actions（包括Claude Code、Gemini CLI、Qwen CLI和Cursor CLI的官方GitHub Actions）以及两个官方n8n节点。作者已向受影响厂商负责任地披露了所有发现，并获得了多次确认、修复和漏洞奖励，包括来自GitHub、Google和Anthropic的反馈。该研究为防御者理解此类新型攻击面提供了重要参考。

本文是首项针对GitHub CI工作流中由大语言模型（LLM）引入的安全风险的系统性研究。随着越来越多的CI工作流集成LLM来自动化代码审查、分类、内容生成和仓库维护，外部可控的工作流输入可以塑造LLM的提示词和输出，进而影响安全决策、仓库状态或特权执行，形成新的攻击面。作者沿着完整的执行链对问题进行了刻画，建立了高层次风险类别和具体威胁向量的分类法。为在实践检测此类风险，设计了Heimdallr混合分析框架，该框架将工作流标准化为LLM-Workflow属性图（L-WPG），并结合可触发分析、LLM辅助数据流摘要和确定性传播来合成具体的威胁向量发现。在300个手动标注的独特工作流上评估，Heimdallr在LLM节点识别（F1≈0.994）、可触发分类（99.8%）和威胁向量检测（微平均F1≈0.917）上取得高精度。作为持续检测和披露工作的一部分，作者已负责任地披露了759个仓库中的802个易受攻击的工作流实例，并获得71份致谢。

该论文《Action Required: A Mixed-Methods Study of Security Practices in GitHub Actions》针对持续集成/持续部署（CI/CD）工作流中的安全问题，特别是GitHub Actions的安全实践进行了深入研究。研究采用混合方法：首先通过大规模实证分析，扫描公开仓库中GitHub Actions的使用模式，识别常见的不安全配置，例如硬编码密钥、不当的权限管理、未验证的外部输入等；其次，对开发者进行半结构化访谈，了解其安全意识、决策动机和面临的挑战。研究发现，许多安全问题的根源在于文档不清晰、缺乏默认安全的设计以及开发者对安全风险的认知不足。论文基于这些发现，提出了一套改进GitHub Actions安全性的建议，包括改进官方文档、提供安全模板、以及引入自动化安全检查工具。该研究为CI/CD安全领域提供了实证数据和人因分析，有助于平台维护者和安全团队理解实际中的安全薄弱环节。