何が起きたか
Noma Labs (Noma Security) は、GitHub の新しく立ち上げられた Agentic Workflows 機能における構造的間接 prompt injection 脆弱性である GitLost を開示しました。この脆弱性は、エージェントが信頼されたワークフロー指示と信頼されていない issue コンテンツを区別できないこと、および過度に広い読み取りアクセストークンと組み合わせて、プライベートリポジトリデータを公開コメントに流出させます。
なぜ重要か
GitHub Agentic Workflows は新しく広く採用されている機能で、GitHub Actions の自動化と LLM エージェントを組み合わせています。これにより、広い読み取りスコープを付与されたエージェントを持つあらゆる組織から、プライベートソースコードおよびシークレットを流出させるための繰り返し可能なゼロ認証情報技術を示しており、エージェントベースの CI/CD 自動化における体系的なリスクパターンです。
攻撃経路
認証されていない攻撃者が、組織のパブリックリポジトリ内に prompt injection 指示を含む作成済みの公開 GitHub Issue を投稿します。issue 割り当てイベントでトリガーされるように構成されたワークフロー (プライベートリポジトリを含むクロスリポジトリ読み取りアクセスを許可するトークン) が issue を処理する際、エージェントは inject された指示に従ってプライベートリポジトリコンテンツ (例:README.md) をフェッチし、issue の公開コメントに貼り付けます — 攻撃者からの認証情報または組織アクセスは不要です。
影響を受けるシステム
GitHub Agentic Workflows (GitHub Actions + Claude または GitHub Copilot によってサポートされる AI エージェント)
緩和策
Agentic Workflow トークンをorg 全体のクロスリポジトリ読み取りアクセスではなく単一リポジトリにスコープし、公開投稿前に人間による審査でエージェント出力をゲート化し、信頼されていない issue コンテンツを指示ではなくデータとして扱います。Noma Labs による責任ある開示は公開前に GitHub に行われました。