GitHub 热门 Action 组件 tj-actions/branch-names 存在高危命令注入漏洞（CVE-2025-54416），影响超过 5000 个代码库。攻击者可在 CI/CD 流程中执行任意命令，威胁安全。开发者已修复漏洞，建议用户升级至 v9 版本。

GitHub Actions遭遇大规模供应链攻击，tj-actions被黑客投毒，影响超过23,000家企业，导致敏感凭据泄露。攻击者修改源代码，泄露AWS密钥等信息。GitHub已暂停tj-actions并加强安全措施，受影响企业需更改密钥并检查账户日志。