GitHub Copilot SDK 曝高危漏洞 CVE-2026-29783，可导致任意代码执行

GitHub Copilot 的核心依赖库 `@github/copilot` 中发现一个高危安全漏洞，被标记为 CVE-2026-29783。该漏洞被评定为“高严重性”，其本质是一个Shell扩展漏洞，攻击者可能利用此漏洞在受影响的系统上执行任意代码。这一缺陷直接威胁到所有依赖 `@github/copilot-sdk` 版本 0.1.29 及更早版本的项目，因为这些版本会传递性地引入存在漏洞的 `@github/copilot` 0.0.420。

漏洞的根源在于 `@github/copilot-sdk` 所依赖的传递性包。具体而言，`@github/[email protected]` 会拉取存在漏洞的 `@github/copilot` 0.0.420 版本。GitHub 已在 `@github/copilot` 的 0.0.423 及更高版本中修复了此漏洞。因此，修复工作的核心是确保项目将 `@github/copilot-sdk` 升级至 0.1.30 或更高版本，从而间接引入已修补的依赖。项目内部已通过 Dependabot 警报 #10 追踪此问题。

此次修复的验收标准明确且严格：必须确保 `pnpm-lock.yaml` 文件中 `@github/copilot` 的解析版本不低于 0.0.423；运行 `pnpm audit` 后不再报告 CVE-2026-29783；相关的 Dependabot 警报应自动关闭或可被手动消除。此外，整个更新流程必须通过完整的质量门禁，包括代码检查、类型检查和测试套件，并确保 Copilot 包装器的核心功能（如设备认证、流式聊天、工具调用）在运行时没有出现回归问题。这凸显了在AI辅助开发工具链中，即使是间接依赖的安全漏洞也可能带来广泛的代码执行风险。