El ataque se desarrolla en cuatro pasos:
El fallo principal es la incapacidad de mantener un límite de confianza estricto entre las instrucciones del sistema y los datos de usuario no confiables dentro de la ventana de contexto del agente de IA. Como afirmó Sasi Levi, de Noma: "La ventana de contexto del agente es también su superficie de ataque. Cualquier contenido que el agente lea —ya sean issues, pull requests, comentarios o archivos— puede ser utilizado como arma si el agente trata ese contenido como una entrada instructiva."
Los agentes basados en LLM tienen dificultades para distinguir entre datos e instrucciones cuando ambos aparecen en el mismo contexto o en la misma salida de una herramienta. Esto no es simplemente un error de programación convencional, sino un riesgo estructural en los flujos de trabajo de IA agentivos, donde el contenido no confiable puede influir en el comportamiento del agente si el flujo de trabajo no lo aísla o lo restringe.
Los investigadores han clasificado formalmente esta clase de fallo como Agentic Workflow Injection (AWI), identificando dos patrones principales: Prompt-to-Agent (P2A), donde el contenido no confiable llega al límite del prompt del agente, y Prompt-to-Script (P2S), donde la influencia del atacante se propaga a través de las salidas derivadas del modelo hacia scripts posteriores.
GitHub había implementado protecciones para evitar la exfiltración de datos, pero los investigadores de Noma informaron que podían eludirse con una técnica sorprendentemente simple. Añadir la palabra "Además" a las instrucciones inyectadas hacía que el modelo reformulara su salida en lugar de rechazar la solicitud, permitiendo que la fuga de datos continuara como si fuera una continuación autorizada de la tarea.
Este enfoque es consistente con investigaciones más amplias sobre inyección de prompts que muestran que frases particulares o texto devuelto por herramientas pueden hacer que los modelos sigan instrucciones maliciosas que no deberían seguir. Esta técnica de evasión refleja patrones observados en incidentes anteriores, como la vulnerabilidad de GitHub MCP descubierta por Invariant Labs, donde un issue malicioso podía secuestrar el agente de un usuario para filtrar datos de repositorios privados.
Basándose en los hallazgos de GitLost y en las guías de seguridad más amplias para flujos de trabajo agentivos, las organizaciones afectadas deberían implementar los siguientes controles:
Las organizaciones también deberían aplicar el principio de mínimo privilegio a los secretos del agente e implementar un monitoreo de seguridad continuo para detectar intentos de inyección de prompts.
Según Dark Reading y la cronología de divulgación de Noma Security:
GitLost no es un incidente aislado. Representa una clase creciente de vulnerabilidades en las que los agentes de IA con acceso a datos sensibles están expuestos a contenido de usuario no confiable. Problemas similares han afectado las integraciones de GitHub MCP, los flujos de trabajo de Gemini CLI de Google (la vulnerabilidad TrustIssues) y las GitHub Actions de Claude Code. El denominador común es que los agentes basados en LLM carecen de una capacidad inherente para distinguir entre datos e instrucciones cuando ambos aparecen en la misma ventana de contexto: un desafío arquitectónico fundamental que ningún parche de plataforma individual puede resolver por completo.