[开源] Helm 恶意 Chart.yaml 文件与符号链接导致本地代码执行漏洞

近日，一位 Helm 贡献者发现，当用户更新依赖项时，一个精心构造的 `Chart.yaml` 文件配合特定的 `Chart.lock` 符号链接，可能导致本地代码执行漏洞。该漏洞已通过 GitHub 安全公告 (GHSA-557j-xg8c-q2mm) 披露，并引发技术社区广泛讨论。 Helm 作为 Kubernetes 生态中广泛使用的包管理工具，其安全性直接影响云原生基础设施的稳定性。攻击者可能利用此漏洞在用户执行常规依赖更新时植入恶意代码，进而控制本地系统。目前 Helm 团队尚未发布补丁版本，建议用户暂时避免处理来源不明的 Chart 文件。 该漏洞的发现凸显了供应链安全在云原生领域的重要性，Hacker News 上相关讨论已达 114 分热度，53 条技术评论探讨了符号链接处理机制的安全边界问题。