يتكون الهجوم من أربع خطوات:
الخلل الأساسي هو الفشل في الحفاظ على حدود ثقة صارمة بين تعليمات النظام وبيانات المستخدم غير الموثوقة داخل نافذة سياق الوكيل الذكي. كما صرح ساسي ليفي من Noma: "نافذة سياق الوكيل هي أيضًا سطح الهجوم الخاص به. أي محتوى يقرأه الوكيل — سواء كان إصدارات أو طلبات سحب أو تعليقات أو ملفات — يمكن تسليحه إذا تعامل الوكيل مع ذلك المحتوى كمدخلات تعليمات."
تجد الوكلاء القائمة على نماذج اللغات الكبيرة (LLMs) صعوبة في التمييز بين البيانات والتعليمات عندما يظهر كلاهما في نفس السياق أو مخرجات الأداة. هذا ليس مجرد خطأ برمجي تقليدي، بل هو خطر هيكلي في سير عمل الذكاء الاصطناعي الوكيل، حيث يمكن للمحتوى غير الموثوق أن يؤثر على سلوك الوكيل إذا لم يعزله سير العمل أو يقيده.
قام الباحثون بتصنيف هذه الفئة من الثغرات رسميًا باسم "حقن سير العمل الوكيل" (Agentic Workflow Injection - AWI)، وحددوا نمطين أساسيين: "موجه إلى وكيل" (Prompt-to-Agent - P2A)، حيث يصل المحتوى غير الموثوق إلى حدود موجه الوكيل، و"موجه إلى سكريبت" (Prompt-to-Script - P2S)، حيث ينتشر تأثير المهاجم عبر المخرجات المشتقة من النموذج إلى سكريبتات لاحقة.
كانت لدى GitHub حواجز حماية تهدف إلى منع تسريب البيانات، لكن باحثي Noma أفادوا بإمكانية تجاوزها باستخدام تقنية بسيطة بشكل مفاجئ. إضافة كلمة "Additionally" إلى التعليمات المحقونة تسببت، وفقًا للتقارير، في إعادة النموذج لصياغة مخرجاته بدلاً من رفض الطلب، مما سمح بتسريب البيانات كما لو كانت استمرارًا مصرحًا به للمهمة.
يتوافق هذا الأسلوب مع أبحاث أوسع في مجال حقن الأوامر تُظهر أن صياغة معينة أو نصًا يتم إرجاعه بواسطة أداة يمكن أن يتسبب في اتباع النماذج لتعليمات ضارة كان ينبغي لها ألا تتبعها. يعكس تجاوز الحاجز أنماطًا شوهدت في حوادث سابقة، مثل ثغرة GitHub MCP التي كشفت عنها Invariant Labs، حيث يمكن لإصدار ضار اختطاف وكيل مستخدم لتسريب بيانات من مستودعات خاصة.
بناءً على نتائج GitLost والإرشادات الأوسع لأمن سير العمل الوكيل، يجب على المؤسسات المتأثرة تنفيذ الضوابط التالية:
يجب على المؤسسات أيضًا تطبيق مبدأ الامتياز الأقل على أسرار الوكيل وتنفيذ مراقبة أمنية مستمرة لمحاولات حقن الأوامر.
وفقًا لـ Dark Reading والجدول الزمني للإفصاح من Noma Security:
GitLost ليست حادثة معزولة. إنها تمثل فئة متنامية من الثغرات حيث يتم تعريض وكلاء الذكاء الاصطناعي الذين لديهم إمكانية الوصول إلى بيانات حساسة لمحتوى مستخدم غير موثوق. مشكلات مماثلة أثرت على تكاملات GitHub MCP، وسير عمل Google's Gemini CLI (ثغرة TrustIssues)، و Claude Code GitHub Actions. الخيط المشترك هو أن الوكلاء القائمة على LLM يفتقرون إلى قدرة متأصلة على التمييز بين البيانات والتعليمات عندما يظهر كلاهما في نفس نافذة السياق — وهو تحدٍ معماري أساسي لا يمكن لأي تصحيح منفرد للمنصة حله بالكامل.