警惕“幽灵补丁”：GitHub 导出机制或允许提交信息中的伪造代码被执行

安全研究员发现 GitHub 等 Git 托管平台的补丁导出机制存在安全隐患。当开发者通过 `.patch` URL 获取补丁并使用传统的 `GNU patch` 工具应用时，工具无法区分真实的代码变更与嵌入在提交信息中的伪造 Diff 文本。这意味着攻击者可以在提交说明中植入看似正常的“幽灵补丁”，诱导开发者的系统在不知情的情况下创建恶意文件（如 Git Hooks）或执行未经审查的代码。虽然 `git am` 对特定路径有防护，但仍无法完全阻止普通文件被篡改，这给软件供应链安全敲响了警钟。