Der Angriff läuft in vier Schritten ab:
Der Kernfehler ist ein Versagen, eine strikte Vertrauensgrenze zwischen Systemanweisungen und nicht vertrauenswürdigen Benutzerdaten im Kontextfenster des KI-Agenten aufrechtzuerhalten. Wie Sasi Levi von Noma es formulierte: „Das Kontextfenster des Agenten ist auch seine Angriffsfläche. Jeder Inhalt, den der Agent liest – ob Issues, Pull-Requests, Kommentare oder Dateien – kann als Waffe eingesetzt werden, wenn der Agent diesen Inhalt als Anweisung interpretiert.“
LLM-basierte Agenten haben grundsätzlich Schwierigkeiten, zwischen Daten und Anweisungen zu unterscheiden, wenn beide im selben Kontext oder in der Ausgabe eines Tools erscheinen. Dies ist nicht nur ein herkömmlicher Programmierfehler, sondern ein strukturelles Risiko in KI-Agent-Workflows, bei dem nicht vertrauenswürdiger Inhalt das Verhalten des Agenten beeinflussen kann, sofern der Workflow diesen Inhalt nicht isoliert oder einschränkt.
Die Forscher haben diese Fehlerklasse formal als „Agentic Workflow Injection“ (AWI) kategorisiert und zwei Kernmuster identifiziert: „Prompt-to-Agent“ (P2A), bei dem nicht vertrauenswürdiger Inhalt die Prompt-Grenze eines Agenten erreicht, und „Prompt-to-Script“ (P2S), bei dem der Einfluss des Angreifers durch modellgesteuerte Ausgaben in nachfolgende Skripte weitergegeben wird.
GitHub hatte Schutzmechanismen implementiert, um genau solche Datenexfiltrationen zu verhindern. Die Noma-Forscher berichteten jedoch, dass diese mit einer überraschend einfachen Technik umgangen werden konnten. Das Einfügen des Wortes „Additionally“ (zusätzlich) in die eingeschleusten Anweisungen führte offenbar dazu, dass das Modell seine Ausgabe umdeutete, anstatt die Anfrage zu verweigern. Der Datenabfluss konnte so als vermeintlich autorisierte Fortsetzung der Aufgabe fortgesetzt werden.
Diese Vorgehensweise deckt sich mit der allgemeinen Prompt-Injection-Forschung, die zeigt, dass bestimmte Formulierungen oder von Tools zurückgegebene Texte Modelle dazu bringen können, bösartigen Anweisungen zu folgen, denen sie eigentlich nicht folgen sollten. Die Umgehung der Schutzmechanismen spiegelt Muster wider, die bereits bei früheren Vorfällen wie der von Invariant Labs offengelegten GitHub-MCP-Sicherheitslücke zu beobachten waren, bei der ein bösartiger Issue den Agenten eines Benutzers kapern und Daten aus privaten Repositories leaken konnte.
Basierend auf den GitLost-Erkenntnissen und allgemeinen Sicherheitsleitlinien für Agent-Workflows sollten betroffene Organisationen die folgenden Kontrollen implementieren:
Unternehmen sollten außerdem das Prinzip der geringsten Privilegien auf Agentengeheimnisse anwenden und eine kontinuierliche Sicherheitsüberwachung auf Prompt-Injection-Versuche implementieren.
Laut Dark Reading und dem Offenlegungszeitplan von Noma Security:
GitLost ist kein Einzelfall. Es steht für eine wachsende Klasse von Sicherheitslücken, bei denen KI-Agenten mit Zugriff auf sensible Daten nicht vertrauenswürdigem Benutzerinhalt ausgesetzt sind. Ähnliche Probleme haben GitHub-MCP-Integrationen, Googles Gemini-CLI-Workflows (die TrustIssues-Sicherheitslücke) und Claude Code GitHub Actions betroffen. Der gemeinsame Nenner ist, dass LLM-basierte Agenten von Natur aus nicht in der Lage sind, zwischen Daten und Anweisungen zu unterscheiden, wenn beide im selben Kontextfenster erscheinen – eine grundlegende architektonische Herausforderung, die kein einzelner Plattform-Patch vollständig lösen kann.