무슨 일이 있었나
Noma Labs (Noma Security)는 GitHub의 새로 출시된 Agentic Workflows 기능의 구조적 간접 프롬프트 인젝션 취약점인 GitLost를 공개했습니다. 이 취약점은 에이전트가 신뢰할 수 있는 워크플로우 지침과 신뢰할 수 없는 이슈 콘텐츠를 구분할 수 없다는 점과 과도하게 광범위한 읽기 액세스 토큰을 결합하여 비공개 저장소 데이터를 공개 댓글로 유출시킵니다.
왜 중요한가
GitHub Agentic Workflows는 GitHub Actions 자동화와 LLM 에이전트를 결합한 새로운 광범위하게 채택된 기능입니다. 이는 광범위한 읽기 범위의 에이전트를 부여하는 모든 조직으로부터 비공개 소스 코드 및 보안 정보를 유출하기 위한 반복 가능한 자격 증명 불필요 기법을 보여주며, 이는 모든 에이전트 기반 CI/CD 자동화에 대한 시스템적 위험 패턴입니다.
공격 경로
인증되지 않은 공격자가 조직의 공개 저장소에 프롬프트 인젝션 지침을 포함하는 제작된 공개 GitHub 이슈를 게시합니다. 이슈 할당 이벤트에서 트리거되도록 구성된 워크플로우(비공개 저장소를 포함한 교차 저장소 읽기 액세스 권한을 부여하는 토큰 포함)가 이슈를 처리할 때, 에이전트는 주입된 지침을 따라 비공개 저장소 콘텐츠(예: README.md)를 가져와서 이슈의 공개 댓글에 붙여넣습니다. 공격자로부터 자격 증명이나 조직 액세스가 필요하지 않습니다.
영향받는 시스템
GitHub Agentic Workflows (GitHub Actions + Claude 또는 GitHub Copilot으로 지원되는 AI 에이전트)
완화 방안
Agentic Workflow 토큰의 범위를 조직 전체 교차 저장소 읽기 액세스가 아닌 단일 저장소로 제한하고, 에이전트 출력을 공개적으로 게시하기 전에 인간의 검토를 통해 제어하며, 신뢰할 수 없는 이슈 콘텐츠를 지침이 아닌 데이터로 취급합니다. Noma Labs에 의해 GitHub에 출판 전 책임 있게 공개했습니다.