Angrepet foregår i fire trinn:
Kjernen i sårbarheten er en manglende evne til å opprettholde et klart tillitsforhold mellom systeminstruksjoner og upålitelig brukerdata innenfor KI-agentens kontekstvindu. Som Sasi Levi i Noma uttrykte det: «Agentens kontekstvindu er også angrepsflaten. Alt innhold agenten leser – enten det er issues, pull requests, kommentarer eller filer – kan bli et våpen hvis agenten behandler innholdet som instruksjoner.»
LLM-baserte agenter har problemer med å skille mellom data og instruksjoner når begge deler finnes i samme kontekst eller verktøyutdata. Dette er ikke bare en vanlig programmeringsfeil, men en strukturell risiko i agentiske KI-arbeidsflyter, der upålitelig innhold kan påvirke agentens oppførsel hvis arbeidsflyten ikke isolerer eller avgrenser det.
Forskerne har formelt kategorisert denne typen svakhet som «Agentic Workflow Injection» (AWI) og identifisert to kjernemønstre: Prompt-to-Agent (P2A), der upålitelig innhold når en agents promptgrense, og Prompt-to-Script (P2S), der angriperens påvirkning forplanter seg gjennom modell-genererte utdata til senere skript.
GitHub hadde sperrer for å hindre dataeksfiltrering, men Noma-forskerne fant en overraskende enkel måte å omgå dem på. Å legge til ordet «Additionally» i de injiserte instruksjonene førte til at modellen omformulerte svaret i stedet for å avvise forespørselen, slik at datalekkasjen fortsatte som om den var en autorisert del av oppgaven.
Denne tilnærmingen er i tråd med bredere forskning på prompt injection, som viser at bestemte formuleringer eller tekst fra verktøy kan få modeller til å følge ondsinnede instruksjoner de egentlig burde avvise. Omgåelsen av sperrene minner om mønstre sett i tidligere hendelser, som GitHub MCP-sårbarheten oppdaget av Invariant Labs, der en ondsinnet issue kunne kapre en brukers agent for å lekke data fra private repositories.
Basert på GitLost-funnene og generell sikkerhetsveiledning for agentiske arbeidsflyter, bør berørte organisasjoner implementere følgende:
Organisasjoner bør også anvende prinsippet om minste privilegium for agenthemmeligheter og implementere kontinuerlig sikkerhetsovervåking for prompt injection-forsøk.
Ifølge Dark Reading og Noma Securitys avsløringstidslinje:
GitLost er ikke en isolert hendelse. Det representerer en voksende klasse av sårbarheter der KI-agenter med tilgang til sensitive data blir eksponert for upålitelig brukerinnhold. Lignende problemer har påvirket GitHub MCP-integrasjoner, Googles Gemini CLI-arbeidsflyter (TrustIssues-sårbarheten) og Claude Code GitHub Actions. Fellesnevneren er at LLM-baserte agenter mangler en iboende evne til å skille mellom data og instruksjoner når begge deler finnes i samme kontekstvindu – en grunnleggende arkitektonisk utfordring som ingen enkeltplattformoppdatering kan løse fullstendig.