Inspektor Gadget 审计概况首次独立安全审计完成近日CNCF 项目 Inspektor Gadget 完成了首次独立安全审计。此次审计由 Open Source Technology Improvement FundOSTIF协调CNCF 资助安全公司 Shielder 执行。审计结果、修复方案及后续加固建议均已公开报告中提到的漏洞也都有可用补丁。审计方法与环境搭建多手段贴近真实场景Shielder 安排两名研究人员在 2026 年初执行审计采用了协同威胁建模、人工源代码审查、动态测试、静态分析以及 AI 辅助代码审查等方法。为贴近真实使用场景搭建了本地 Linux 主机部署、远程 daemon 部署、基于 minikube 的 Kubernetes 部署三类测试环境覆盖了 Inspektor Gadget 的主要部署方式。漏洞详情3 漏洞各有成因与修复版本本次审计共发现 3 个漏洞无 Critical 或 High 级别漏洞2 个 Medium 级别1 个 Low 级别。中危问题一是 ig image build 中存在命令注入风险CVE - 2026 - 24905因镜像构建流程中 Makefile 对用户可控输入处理不当未充分转义在 CI/CD 场景易被利用已在 v0.48.1 修复二是通过事件洪泛造成拒绝服务恶意容器向 eBPF ring buffer 写入大量事件导致其他容器事件被丢弃攻击者可隐藏异常行为已在 v0.50.1 修复。低危问题是 columns 输出模式中未清理 ANSI 转义序列CVE - 2026 - 25996受感染容器可能注入特殊控制字符影响终端显示已在 v0.49.1 修复。安全加固建议六项建议提升安全性Shielder 给出 6 条安全加固建议包括 TCP listener 默认强制启用 TLS、CI/CD 中外部依赖固定版本并校验、实现 Kubernetes namespace blocklist、限制远程客户端通过 daemon 启用主机级追踪、自动化扫描第三方依赖漏洞、收缩 DaemonSet Pod 的 RBAC 权限。维护者正在逐项处理部分修复已合入部分工作需更长时间。编辑观点Inspektor Gadget 虽降低了 Kubernetes 集群排查成本但高权限运行使其安全至关重要。此次审计为项目安全发展提供保障行业应重视第三方审计提升工具安全性。