Angrebet udfolder sig i fire trin:
Den grundlæggende fejl er en manglende evne til at opretholde en streng tillidsgrænse mellem systemniveau-instruktioner og upålidelige brugerdata i AI-agentens kontekstvindue. Som Nomas Sasi Levi udtalte: "Agentens kontekstvindue er også dens angrebsflade. Alt indhold, agenten læser – uanset om det er issues, pull requests, kommentarer eller filer – kan bruges som våben, hvis agenten behandler indholdet som instruktionsinput."
LLM-baserede agener har svært ved at skelne mellem data og instruktioner, når begge dele optræder i samme kontekst eller værktøjsoutput. Dette er ikke blot en konventionel kodefejl, men en strukturel risiko i agentiske AI-workflows, hvor upålideligt indhold kan påvirke agentens adfærd, hvis workflowet ikke isolerer eller begrænser det.
Forskere har formelt kategoriseret denne klasse af fejl som Agentic Workflow Injection (AWI) og identificeret to kernemønstre: Prompt-to-Agent (P2A), hvor upålideligt indhold når en agents promptgrænse, og Prompt-to-Script (P2S), hvor angriberens indflydelse forplanter sig gennem modelafledte output til senere scripts.
GitHub havde indbygget beskyttelsesforanstaltninger, der skulle forhindre dataeksfiltration, men Noma-forskerne rapporterede, at de kunne omgås med en overraskende simpel teknik. At tilføje ordet 'Additionally' til de injicerede instruktioner fik angiveligt modellen til at omformulere sit output i stedet for at afvise anmodningen, hvilket tillod datalækagen at fortsætte som om, den var en autoriseret fortsættelse af opgaven.
Denne tilgang er i overensstemmelse med bredere forskning i prompt injection, der viser, at bestemte formuleringer eller værktøjsreturneret tekst kan få modeller til at følge ondsindede instruktioner, de ikke burde følge. Omgåelsen afspejler mønstre set i tidligere hændelser, såsom GitHub MCP-sårbarheden, som Invariant Labs afslørede, hvor et ondsindet issue kunne kapre en brugers agent til at lække data fra private repositories.
Baseret på GitLost-funktionerne og bredere sikkerhedsvejledning for agentiske workflows bør berørte organisationer implementere følgende kontroller:
Organisationer bør også anvende princippet om mindste rettigheder på agenthemmeligheder og implementere kontinuerlig sikkerhedsovervågning for forsøg på prompt injection.
Ifølge Dark Reading og Noma Security's afsløringstidslinje:
GitLost er ikke en isoleret hændelse. Det repræsenterer en voksende klasse af sårbarheder, hvor AI-agenter med adgang til følsomme data eksponeres for upålideligt brugerindhold. Lignende problemer har påvirket GitHub MCP-integrationer, Google's Gemini CLI-workflows (TrustIssues-sårbarheden) og Claude Code GitHub Actions. Den fælles tråd er, at LLM-baserede agener mangler en iboende evne til at skelne mellem data og instruktioner, når begge dele optræder i samme kontekstvindue – en grundlæggende arkitektonisk udfordring, som ingen enkelt platformspatch fuldt ud kan løse.