Kerentanan  ·  2026-07-08

GitLost: Prompt Injection dalam GitHub Agentic Workflows Membocorkan Data Repository Pribadi melalui Public Issues

KerentananHigh dampakGlobal
Noma Labs (Noma Security) mengungkapkan GitLost, sebuah kerentanan prompt injection tidak langsung struktural dalam fitur Agentic Workflows yang baru diluncurkan GitHub. Kerentanan ini memanfaatkan ketidakmampuan agen untuk membedakan instruksi workflow terpercaya dari konten issue yang tidak terpercaya, dikombinasikan dengan token akses baca yang terlalu luas, untuk mengeksfiltrasi data repository pribadi ke dalam komentar publik.
GitHub Agentic Workflows adalah fitur baru yang banyak diadopsi yang memasangkan otomasi GitHub Actions dengan agen LLM; ini menunjukkan teknik zero-credential yang dapat diulang untuk mengeksfiltrasi kode sumber pribadi dan rahasia dari organisasi mana pun yang memberikan agen cakupan baca luas — pola risiko sistemik untuk otomasi CI/CD berbasis agen apa pun.
Penyerang yang tidak terautentikasi memposting GitHub Issue publik yang dirancang khusus berisi instruksi prompt-injection di repository publik organisasi. Ketika workflow yang dikonfigurasi untuk dipicu pada event penugasan issue (dengan token yang memberikan akses baca lintas-repo, termasuk repo pribadi) memproses issue, agen mengikuti instruksi yang disuntikkan untuk mengambil konten repository pribadi (misalnya, README.md) dan menempelkannya ke dalam komentar publik pada issue — tidak memerlukan kredensial atau akses organisasi dari penyerang.
GitHub Agentic Workflows (GitHub Actions + agen AI yang didukung oleh Claude atau GitHub Copilot)
Batasi token Agentic Workflow ke repository tunggal daripada akses baca lintas-repo seluruh organisasi; gerbang output agen di belakang tinjauan manusia sebelum posting secara publik; perlakukan konten issue yang tidak terpercaya sebagai data, bukan instruksi. Diungkapkan secara bertanggung jawab kepada GitHub oleh Noma Labs sebelum publikasi.
Noma Security - GitLost: How We Tricked GitHub's AI Agent into Leaking Private ReposThe Hacker News - Public GitHub Issue Could Trick GitHub Agentic Workflows Into Leaking Private Repo Data
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →