6月19日，本地云安全公司的Sysdig研究团队发现，开发人员和仓库维护者已经不合适地配置了GitHub的行动。召唤吴丹E提出了该团队，指出核心问题是由于滥用pull_request_target触发事件引起的。与常规事件pull_request不同，pull_request_target是在存储库的主分支的上下文中执行的，而不是在融合的确认环境中执行。这意味着您可以访问存储库的秘密（例如API键）和GitHub_Token的默认阅读许可。如果开发人员不限制许可证，则攻击者可以通过注射恶意代码来窃取令牌并控制存储库。在扫描了许多开源存储库后，研究人员发现了多个高风险病例。 Biblioteca Spotipy：Python Open Stop fotify库，Spotipy，允许攻击者向S注入Python恶意包裹Teal Github_Token和其他机密信息。 Spotify团队设置了漏洞。 MITER存储库：Miter的存储库中也有类似的漏洞。研究人员成功增加了芯片和许可证，斜切迅速阻止了问题。 Splunk安全内容：另一种情况，攻击者可以过滤Splunk Security_内容的两个机密信息。尽管令牌权限有限（仅是阅读许可），但配置失败仍然是公开的。 Sysdig威胁研究主管Stefan Chierici说，如果攻击者可以提取高价Github_Token，他可以操纵工作流程代码，窃取所有秘密，修改主分支的档案，并纠正几乎完整的Repository Control。使用pull_request_target的Hacepié很复杂，开发人员需要完全了解其安全风险并避免“盲目依赖”。尽管这种特征肯定会使用，但建议仅在NEC时启用它本质和严格限制访问。