Apa yang terjadi
Noma Labs (Noma Security) mengungkapkan GitLost, sebuah kerentanan prompt injection tidak langsung struktural dalam fitur Agentic Workflows yang baru diluncurkan GitHub. Kerentanan ini memanfaatkan ketidakmampuan agen untuk membedakan instruksi workflow terpercaya dari konten issue yang tidak terpercaya, dikombinasikan dengan token akses baca yang terlalu luas, untuk mengeksfiltrasi data repository pribadi ke dalam komentar publik.
Mengapa penting
GitHub Agentic Workflows adalah fitur baru yang banyak diadopsi yang memasangkan otomasi GitHub Actions dengan agen LLM; ini menunjukkan teknik zero-credential yang dapat diulang untuk mengeksfiltrasi kode sumber pribadi dan rahasia dari organisasi mana pun yang memberikan agen cakupan baca luas — pola risiko sistemik untuk otomasi CI/CD berbasis agen apa pun.
Vektor serangan
Penyerang yang tidak terautentikasi memposting GitHub Issue publik yang dirancang khusus berisi instruksi prompt-injection di repository publik organisasi. Ketika workflow yang dikonfigurasi untuk dipicu pada event penugasan issue (dengan token yang memberikan akses baca lintas-repo, termasuk repo pribadi) memproses issue, agen mengikuti instruksi yang disuntikkan untuk mengambil konten repository pribadi (misalnya, README.md) dan menempelkannya ke dalam komentar publik pada issue — tidak memerlukan kredensial atau akses organisasi dari penyerang.
Sistem yang terdampak
GitHub Agentic Workflows (GitHub Actions + agen AI yang didukung oleh Claude atau GitHub Copilot)
Mitigasi
Batasi token Agentic Workflow ke repository tunggal daripada akses baca lintas-repo seluruh organisasi; gerbang output agen di belakang tinjauan manusia sebelum posting secara publik; perlakukan konten issue yang tidak terpercaya sebagai data, bukan instruksi. Diungkapkan secara bertanggung jawab kepada GitHub oleh Noma Labs sebelum publikasi.