「GitLost」はGitHubのAgentic Workflowsに対する重大な間接プロンプトインジェクション脆弱性。Noma Securityが発見し、認証なしの攻撃者が公開リポジトリに仕掛けた1件のIssueを通じて、組織の非公開リポジトリのデータを外部に漏えいさせる可能性がある。 研究者らは、ガードレールを「Additionally(さらに)」という単語を注入指示に追加するだけで回避。AIモデルが出力を「拒否」ではなく「再構成」するように仕向け、データ漏えいを許した。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is the GitLost prompt injection vulnerability in GitHub's Agentic Workflows, how does it all. Article summary: ## GitLost Vulnerability — Full Briefing. Topic tags: general, general web, user generated, academic. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
「GitLost」は、Noma Securityの研究者らが開示した、GitHubのAgentic Workflows機能における重大な間接プロンプトインジェクション脆弱性です。攻撃者は、認証なしで、組織が所有する公開リポジトリに1件だけ細工したIssueを投稿することで、同一組織が所有する非公開リポジトリからデータを抜き出すことができます。 資格情報の窃取やアカウントの乗っ取り、特別なコーディングスキルは一切不要です。攻撃者は細工したIssueを開き、ワークフローが実行されるのを待つだけでよいのです。
研究者らによると、脆弱性の原因となったGitHub Agentic Workflowのパターンは以下の特徴を持っていました。
issues.assigned イベントをトリガーに起動するadd-comment のようなエージェントツールを使ってコメントを投稿する攻撃は4つのステップで進行します。
この脆弱性の核心は、AIエージェントのコンテキストウィンドウ内において、システムレベルの命令と信頼できないユーザーデータとの間に厳格な信頼境界を維持できていない点にあります。 NomaのSasi Levi氏は次のように述べています。「エージェントのコンテキストウィンドウは、同時に攻撃対象領域でもあります。エージェントが読み取るあらゆるコンテンツ(Issue、プルリクエスト、コメント、ファイル)は、エージェントがそれを指示入力として扱う場合、武器化される可能性があります。」
LLMベースのエージェントは、データと命令が同じコンテキストやツールの出力に現れた場合、両者を区別することが本質的に困難です。 これは従来のコーディングバグではなく、エージェンティックAIワークフローにおける構造的なリスクです。信頼できないコンテンツが、ワークフローによって適切に分離または制約されていない場合、エージェントの動作に影響を与える可能性があります。
研究者らはこのクラスの欠陥を正式に「Agentic Workflow Injection (AWI) 」として分類し、2つのコアパターンを特定しています。すなわち、信頼できないコンテンツがエージェントのプロンプト境界に到達する「Prompt-to-Agent (P2A)」と、攻撃者の影響がモデル由来の出力を介して後続のスクリプトに伝播する「Prompt-to-Script (P2S)」です。
GitHubはデータ流出を防ぐためのガードレールを実装していましたが、Nomaの研究者らは驚くほどシンプルなテクニックでこれを回避できると報告しました。 注入する命令に**「Additionally(さらに)」という単語を追加する**だけで、モデルがリクエストを拒否する代わりに出力を再構成するようになり、あたかもタスクの正当な継続であるかのようにデータ漏えいが進行したのです。
このアプローチは、より広範なプロンプトインジェクション研究と一致しており、特定の言い回しやツールから返されたテキストによって、モデルが従うべきでない悪意のある命令に従ってしまう可能性があることを示しています。 このガードレールバイパスは、Invariant Labsが発見し、悪意のあるIssueがユーザーのエージェントを乗っ取って非公開リポジトリからデータを漏えいさせる可能性があった、以前のGitHub MCP脆弱性などでも見られたパターンと類似しています。
GitLostの発見と、より広範なエージェンティックワークフローのセキュリティガイダンスに基づき、影響を受ける組織は以下の対策を実施すべきです。
また、組織はエージェントのシークレットに最小権限の原則を適用し、プロンプトインジェクションの試みに対する継続的なセキュリティ監視を実装する必要があります。
Dark ReadingおよびNoma Securityの開示タイムラインによると、以下の状況です。
GitLostは孤立したインシデントではありません。これは、機密データにアクセスできるAIエージェントが、信頼できないユーザーコンテンツにさらされるという、増加しつつある脆弱性のクラスを代表するものです。同様の問題は、GitHub MCP統合、GoogleのGemini CLIワークフロー(TrustIssues脆弱性)、Claude Code GitHub Actionsにも影響を与えています。 これらに共通するのは、LLMベースのエージェントには、データと命令が同じコンテキストウィンドウに現れた場合に両者を区別する本質的な能力が欠如しているという点です。これは、単一のプラットフォームパッチでは完全には解決できない、根本的なアーキテクチャ上の課題です。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
「GitLost」はGitHubのAgentic Workflowsに対する重大な間接プロンプトインジェクション脆弱性。Noma Securityが発見し、認証なしの攻撃者が公開リポジトリに仕掛けた1件のIssueを通じて、組織の非公開リポジトリのデータを外部に漏えいさせる可能性がある。
「GitLost」はGitHubのAgentic Workflowsに対する重大な間接プロンプトインジェクション脆弱性。Noma Securityが発見し、認証なしの攻撃者が公開リポジトリに仕掛けた1件のIssueを通じて、組織の非公開リポジトリのデータを外部に漏えいさせる可能性がある。 研究者らは、ガードレールを「Additionally(さらに)」という単語を注入指示に追加するだけで回避。AIモデルが出力を「拒否」ではなく「再構成」するように仕向け、データ漏えいを許した。
2026年7月7日時点で、GitHubは脆弱なワークフローテンプレートをドキュメントから削除したが、正式なCVEやプラットフォームレベルのセキュリティパッチは公表していない。