Serangan berlaku dalam empat langkah:
Kecacatan teras adalah kegagalan mengekalkan sempadan kepercayaan yang ketat antara arahan peringkat sistem dan data pengguna yang tidak dipercayai dalam tetingkap konteks ejen AI. Seperti yang dinyatakan oleh Sasi Levi dari Noma: "Tetingkap konteks ejen juga merupakan permukaan serangannya. Mana-mana kandungan yang dibaca oleh ejen — sama ada isu, permintaan tarik, komen, atau fail — boleh dipersenjatai jika ejen menganggap kandungan itu sebagai input arahan."
Ejen berasaskan LLM sukar membezakan antara data dan arahan apabila kedua-duanya muncul dalam konteks atau output alat yang sama. Ini bukan sekadar pepijat pengekodan konvensional tetapi risiko struktur dalam workflow AI agentik, di mana kandungan yang tidak dipercayai boleh mempengaruhi tingkah laku ejen jika workflow tidak mengasingkan atau mengekangnya.
Penyelidik secara rasmi mengkategorikan kelas kecacatan ini sebagai Suntikan Workflow Agentik (AWI), mengenal pasti dua corak teras: Prompt-to-Agent (P2A), di mana kandungan yang tidak dipercayai mencapai sempadan prompt ejen, dan Prompt-to-Script (P2S), di mana pengaruh penyerang merebak melalui output terbitan model ke dalam skrip kemudian.
GitHub mempunyai langkah keselamatan yang bertujuan menghalang kecurian data, tetapi penyelidik Noma melaporkan bahawa ia boleh dipintas dengan teknik yang sangat mudah. Menambah perkataan "Additionally" pada arahan yang disuntik dilaporkan menyebabkan model merangka semula outputnya daripada menolak permintaan, membolehkan kebocoran data berlaku seolah-olah ia adalah sambungan tugas yang sah.
Pendekatan ini konsisten dengan penyelidikan suntikan prompt yang lebih luas menunjukkan bahawa frasa tertentu atau teks yang dikembalikan alat boleh menyebabkan model mengikuti arahan berniat jahat yang sepatutnya tidak diikutinya. Pintasan langkah keselamatan ini mencerminkan corak yang dilihat dalam insiden terdahulu, seperti kerentanan GitHub MCP yang didedahkan oleh Invariant Labs, di mana isu berniat jahat boleh merampas ejen pengguna untuk membocorkan data dari repositori peribadi.
Berdasarkan penemuan GitLost dan panduan keselamatan workflow agentik yang lebih luas, organisasi yang terjejas harus melaksanakan kawalan berikut:
Organisasi juga harus menggunakan prinsip hak minimum untuk rahsia ejen dan melaksanakan pemantauan keselamatan berterusan untuk percubaan suntikan prompt.
Menurut Dark Reading dan garis masa pendedahan Noma Security:
GitLost bukanlah insiden terpencil. Ia mewakili kelas kerentanan yang semakin berkembang di mana ejen AI yang mempunyai akses kepada data sensitif terdedah kepada kandungan pengguna yang tidak dipercayai. Isu serupa telah menjejaskan integrasi GitHub MCP, workflow Gemini CLI Google (kerentanan TrustIssues), dan Claude Code GitHub Actions. Benang yang sama ialah ejen berasaskan LLM tidak mempunyai keupayaan semula jadi untuk membezakan antara data dan arahan apabila kedua-duanya muncul dalam tetingkap konteks yang sama — cabaran seni bina asas yang tidak dapat diselesaikan sepenuhnya oleh sebarang tampung platform tunggal.