GitLost je kritická nepřímá prompt injection zranitelnost v GitHub Agentic Workflows, kterou objevila společnost Noma Security. Výzkumníci obešli GitHub ochrany pomocí slova „Additionally“ (dále), což způsobilo, že model přerámoval výstup, místo aby požadavek odmítl.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is the GitLost prompt injection vulnerability in GitHub's Agentic Workflows, how does it all. Article summary: ## GitLost Vulnerability — Full Briefing. Topic tags: general, general web, user generated, academic. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
GitLost je kritická nepřímá prompt injection zranitelnost v nové funkci GitHubu s názvem Agentic Workflows, kterou odhalili výzkumníci z Noma Security. Umožňuje neautentizovanému útočníkovi odcizit data z privátních repozitářů organizace tím, že vloží jediný upravený GitHub Issue do některého z jejích veřejných repozitářů. K útoku nejsou potřeba žádné přihlašovací údaje, kompromitace účtu ani speciální programátorské dovednosti – stačí vytvořit upravený issue a počkat, až se workflow spustí.
Výzkumníci popsali zranitelný vzor GitHub Agentic Workflow jako ten, který:
issues.assignedadd-commentÚtok probíhá ve čtyřech krocích:
Základní problém spočívá v nedodržení striktní hranice důvěry mezi systémovými instrukcemi a nedůvěryhodnými uživatelskými daty v rámci kontextového okna AI agenta. Jak uvedl Sasi Levi z Noma Security: „Kontextové okno agenta je zároveň jeho útočnou plochou. Jakýkoli obsah, který agent přečte – ať už jde o issue, pull requesty, komentáře nebo soubory – může být zneužit, pokud s ním agent nakládá jako s instrukcí.“
Agenti založení na velkých jazykových modelech (LLM) mají problém rozlišit data od instrukcí, pokud se obojí objeví ve stejném kontextu nebo výstupu nástroje. Nejde jen o běžnou programátorskou chybu, ale o strukturální riziko v agentních AI workflow, kde nedůvěryhodný obsah může ovlivnit chování agenta, pokud ho workflow neizoluje nebo neomezí.
Výzkumníci tuto třídu chyb formálně kategorizovali jako Agentic Workflow Injection (AWI) a identifikovali dva základní vzorce: Prompt-to-Agent (P2A), kde se nedůvěryhodný obsah dostane na hranici promptu agenta, a Prompt-to-Script (P2S), kde vliv útočníka proniká přes výstupy modelu do pozdějších skriptů.
GitHub zavedl ochranná opatření, která měla úniku dat zabránit, ale výzkumníci z Noma zjistili, že je lze obejít překvapivě jednoduchou technikou. Přidání slova „Additionally“ (dále) k vloženým instrukcím údajně způsobilo, že model přerámoval svůj výstup, místo aby požadavek odmítl, a únik dat tak proběhl, jako by šlo o oprávněné pokračování úkolu.
Tento přístup je v souladu s širším výzkumem prompt injection, který ukazuje, že určitá formulace nebo text vrácený nástrojem může způsobit, že modely následují škodlivé instrukce, které by následovat neměly. Obejití ochran připomíná vzorce z dřívějších incidentů, například zranitelnosti GitHub MCP, kterou odhalila Invariant Labs, kde škodlivý issue mohl unést agenta uživatele a způsobit únik dat z privátních repozitářů.
Na základě zjištění o GitLost a širších bezpečnostních doporučeních pro agentní workflow by postižené organizace měly zavést následující kontroly:
Organizace by také měly na princip nejnižších privilegií aplikovat i na tajemství agentů a zavést nepřetržité bezpečnostní monitorování pro pokusy o prompt injection.
Podle informací Dark Reading a časové osy zveřejnění Noma Security:
GitLost není ojedinělý incident. Představuje rostoucí třídu zranitelností, kde jsou AI agenti s přístupem k citlivým datům vystaveni nedůvěryhodnému uživatelskému obsahu. Podobné problémy postihly integrace GitHub MCP, workflow Google Gemini CLI (zranitelnost TrustIssues) a Claude Code GitHub Actions. Společným jmenovatelem je, že agenti založení na LLM postrádají vrozenou schopnost rozlišovat mezi daty a instrukcemi, pokud se obojí objeví ve stejném kontextovém okně – což je základní architektonický problém, který žádná jediná záplata na úrovni platformy nemůže plně vyřešit.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
GitLost je kritická nepřímá prompt injection zranitelnost v GitHub Agentic Workflows, kterou objevila společnost Noma Security.
GitLost je kritická nepřímá prompt injection zranitelnost v GitHub Agentic Workflows, kterou objevila společnost Noma Security. Výzkumníci obešli GitHub ochrany pomocí slova „Additionally“ (dále), což způsobilo, že model přerámoval výstup, místo aby požadavek odmítl.
K 7. červenci GitHub aktualizoval dokumentaci a odstranil zranitelnou šablonu workflow, ale nevydal oficiální CVE ani bezpečnostní záplatu na úrovni platformy.