AWS CodeBuild 持续集成服务存在一个安全漏洞，允许未经批准的代码修改。安全研究人员发现，一个恶意的拉取请求（Pull Request）可以通过 CodeBuild 环境中的内存转储，导致存储库访问令牌被提取。如果这些令牌具有写入权限，攻击者就可以将恶意代码注入到存储库中。该问题影响了 AWS CodeBuild 使用的所有区域。该漏洞已被证实被利用来提取 AWS Toolkit for Visual Studio Code 和 AWS SDK for .NET 存储库的访问令牌，并已分配 CVE-2025-8217。CodeBuild 需要存储库凭据才能进行内容访问和创建 Webhook 等操作。获取这些凭据可能会授予攻击者更高的权限。建议客户检查 git 日志，查找与 CodeBuild 凭据相关的可疑活动。AWS 已实施了额外的保护措施，以防止在以非特权模式运行的容器构建中进行内存转储。然而，由于构建环境会执行贡献者代码的性质，AWS 强烈建议不要使用来自不受信任的贡献者的自动拉取请求构建。对于需要支持来自不受信任源的自动构建的公共存储库，建议在 CodeBuild 中使用自托管的 GitHub Actions 运行器，因为此功能不受该漏洞的影响。