云安全公司Orca Security发现了谷歌云构建服务中的关键设计漏洞“Bad.Build”，攻击者可以未经授权访问谷歌构件注册表代码库，进行供应链攻击。Orca Security利用cloudbuild.builds.create升级权限，篡改谷歌Kubernetes引擎的docker镜像。谷歌安全团队已部分修复漏洞，但仍存在底层漏洞和供应链攻击风险。企业应密切关注谷歌云构建服务账户行为，应用最小特权原则和实施云检测与响应功能来降低风险。

云安全公司Orca Security的研究表明，攻击者能够在短短两分钟内发现配置错误和易受攻击的资产，并立刻开始对其进行利用。他们在9个不同的云环境中设置了蜜罐，每个蜜罐都包含一个AWS密钥，以观察攻击者是否会上钩。根据Orca的报告，GitHub、HTTP和SSH上暴露的敏感信息仅在5分钟内就被发现，AWS S3则在一小时内被发现。攻击者更倾向于对那些流行的、容易获得的、可能包含敏感信息的资源进行侦察。管理人员必须确保其资产在非必要的情况下不被公开访问，并确保敏感信息得到妥善管理。