यह हमला चार चरणों में होता है:
मुख्य खामी AI एजेंट के कॉन्टेक्स्ट विंडो में सिस्टम-स्तरीय निर्देशों और अविश्वसनीय उपयोगकर्ता डेटा के बीच एक सख्त विश्वास सीमा बनाए रखने में विफलता है । Noma के Sasi Levi ने कहा: *"एजेंट का कॉन्टेक्स्ट विंडो ही उसकी अटैक सतह है। एजेंट जो भी सामग्री पढ़ता है — चाहे वह Issues, पुल रिक्वेस्ट, टिप्पणियाँ, या फ़ाइलें हों — उसे हथियार बनाया जा सकता है यदि एजेंट उस सामग्री को निर्देशात्मक इनपुट मान लेता है।"
LLM-आधारित एजेंट डेटा और निर्देशों के बीच अंतर करने में कठिनाई महसूस करते हैं जब दोनों एक ही कॉन्टेक्स्ट या टूल आउटपुट में दिखाई देते हैं । यह केवल एक पारंपरिक कोडिंग बग नहीं है, बल्कि एजेंटिक AI वर्कफ़्लो में एक संरचनात्मक जोखिम है, जहां अविश्वसनीय सामग्री एजेंट के व्यवहार को प्रभावित कर सकती है यदि वर्कफ़्लो इसे अलग या प्रतिबंधित नहीं करता है
।
शोधकर्ताओं ने औपचारिक रूप से इस वर्ग की खामी को एजेंटिक वर्कफ़्लो इंजेक्शन (AWI) के रूप में वर्गीकृत किया है, जिसमें दो मुख्य पैटर्न की पहचान की गई है: प्रॉम्प्ट-टू-एजेंट (P2A), जहां अविश्वसनीय सामग्री एजेंट प्रॉम्प्ट सीमा तक पहुंचती है, और प्रॉम्प्ट-टू-स्क्रिप्ट (P2S), जहां हमलावर का प्रभाव मॉडल-व्युत्पन्न आउटपुट के माध्यम से बाद की स्क्रिप्ट में फैलता है ।
GitHub ने डेटा निकासी को रोकने के लिए गार्डरेल लगाए थे, लेकिन Noma के शोधकर्ताओं ने बताया कि उन्हें एक आश्चर्यजनक रूप से सरल तकनीक से बायपास किया जा सकता है । इंजेक्टेड निर्देशों में 'Additionally' शब्द जोड़ने से मॉडल अपने आउटपुट को रीफ्रेम करता है, अनुरोध को अस्वीकार करने के बजाय, जिससे डेटा लीक इस तरह से आगे बढ़ जाती है जैसे कि यह कार्य का एक अधिकृत विस्तार हो
।
यह दृष्टिकोण व्यापक प्रॉम्प्ट-इंजेक्शन शोध के अनुरूप है, जो दर्शाता है कि विशेष वाक्यांश या टूल-रिटर्न टेक्स्ट मॉडल को दुर्भावनापूर्ण निर्देशों का पालन करने का कारण बन सकता है, जिसका उन्हें पालन नहीं करना चाहिए । यह गार्डरेल बायपास पिछली घटनाओं में देखे गए पैटर्न को दर्शाता है, जैसे कि Invariant Labs द्वारा खुलासा किया गया GitHub MCP कमजोरी, जहां एक दुर्भावनापूर्ण Issue उपयोगकर्ता के एजेंट को हाईजैक करके प्राइवेट रिपॉजिटरी से डेटा लीक कर सकता था
।
GitLost निष्कर्षों और व्यापक एजेंटिक-वर्कफ़्लो सुरक्षा मार्गदर्शन के आधार पर, प्रभावित संगठनों को निम्नलिखित नियंत्रण लागू करने चाहिए :
संगठनों को एजेंट सीक्रेट पर कम-से-कम विशेषाधिकार का सिद्धांत भी लागू करना चाहिए और प्रॉम्प्ट इंजेक्शन प्रयासों के लिए निरंतर सुरक्षा निगरानी लागू करनी चाहिए ।
Dark Reading और Noma Security के खुलासा समयरेखा के अनुसार:
GitLost कोई अलग-थलग घटना नहीं है। यह कमजोरियों के एक बढ़ते वर्ग का प्रतिनिधित्व करती है, जहां AI एजेंटों की संवेदनशील डेटा तक पहुंच होती है और वे अविश्वसनीय उपयोगकर्ता सामग्री के संपर्क में आते हैं। इसी तरह की समस्याओं ने GitHub MCP एकीकरण, Google के Gemini CLI वर्कफ़्लो (TrustIssues कमजोरी), और Claude Code GitHub Actions को प्रभावित किया है । आम सूत्र यह है कि LLM-आधारित एजेंटों में डेटा और निर्देशों के बीच अंतर करने की अंतर्निहित क्षमता का अभाव है जब दोनों एक ही कॉन्टेक्स्ट विंडो में दिखाई देते हैं — यह एक मौलिक आर्किटेक्चरल चुनौती है जिसे कोई एकल प्लेटफ़ॉर्म पैच पूरी तरह से हल नहीं कर सकता
।