云安全公司Orca Security发现了谷歌云构建服务中的关键设计漏洞“Bad.Build”，攻击者可以未经授权访问谷歌构件注册表代码库，进行供应链攻击。Orca Security利用cloudbuild.builds.create升级权限，篡改谷歌Kubernetes引擎的docker镜像。谷歌安全团队已部分修复漏洞，但仍存在底层漏洞和供应链攻击风险。企业应密切关注谷歌云构建服务账户行为，应用最小特权原则和实施云检测与响应功能来降低风险。