Atak przebiega w czterech krokach:
Głównym problemem jest naruszenie ścisłej granicy zaufania między instrukcjami systemowymi a niezaufanymi danymi użytkownika w oknie kontekstowym agenta AI. Jak ujął to Sasi Levi z Noma: „Okno kontekstowe agenta jest jednocześnie jego powierzchnią ataku. Każda treść, którą agent czyta – czy to zgłoszenia, pull requesty, komentarze czy pliki – może zostać wykorzystana, jeśli agent traktuje tę treść jako dane instruktażowe.”
Agenci oparte na modelach LLM mają trudności z odróżnieniem danych od instrukcji, gdy oba typy informacji pojawiają się w tym samym kontekście lub wyniku narzędzia. Nie jest to zwykły błąd programistyczny, ale strukturalne ryzyko w przepływach pracy z agentami AI, gdzie niezaufana treść może wpływać na zachowanie agenta, jeśli przepływ pracy jej nie izoluje lub nie ogranicza.
Badacze formalnie sklasyfikowali tę klasę błędów jako Agentic Workflow Injection (AWI), identyfikując dwa główne wzorce: Prompt-to-Agent (P2A), gdzie niezaufana treść dociera do granicy promptu agenta, oraz Prompt-to-Script (P2S), gdzie wpływ atakującego rozprzestrzenia się przez wyniki generowane przez model do późniejszych skryptów.
GitHub wdrożył zabezpieczenia mające zapobiegać kradzieży danych, ale badacze z Noma poinformowali, że można je ominąć w zaskakująco prosty sposób. Dodanie słowa „Additionally” do wstrzykniętych instrukcji powodowało, że model przeformułowywał swoją odpowiedź zamiast odrzucić żądanie, umożliwiając wyciek danych, jakby było to autoryzowane kontynuowanie zadania.
To podejście jest zgodne z szerszymi badaniami nad wstrzykiwaniem promptów, które pokazują, że określone sformułowania lub tekst zwrócony przez narzędzie mogą sprawić, że modele będą realizować złośliwe instrukcje, których nie powinny wykonywać. Ominięcie zabezpieczeń przypomina wzorce zaobserwowane we wcześniejszych incydentach, takich jak luka w GitHub MCP ujawniona przez Invariant Labs, gdzie złośliwe zgłoszenie mogło przejąć kontrolę nad agentem użytkownika, powodując wyciek danych z prywatnych repozytoriów.
Na podstawie ustaleń dotyczących GitLost i ogólnych wytycznych dotyczących bezpieczeństwa przepływów pracy z agentami, dotknięte organizacje powinny wdrożyć następujące kontrole:
Organizacje powinny również stosować zasadę minimalnych uprawnień do sekretów agentów i wdrożyć ciągłe monitorowanie bezpieczeństwa pod kątem prób wstrzykiwania promptów.
Według Dark Reading i harmonogramu ujawnienia Noma Security:
GitLost nie jest odosobnionym incydentem. Reprezentuje rosnącą klasę podatności, w której agenci AI mający dostęp do wrażliwych danych są narażeni na niezaufane treści użytkowników. Podobne problemy dotknęły integracje GitHub MCP, przepływy pracy Google Gemini CLI (podatność TrustIssues) oraz Claude Code GitHub Actions. Wspólnym mianownikiem jest to, że agenci oparte na LLM nie mają wrodzonej zdolności do odróżnienia danych od instrukcji, gdy oba typy informacji pojawiają się w tym samym oknie kontekstowym – jest to fundamentalne wyzwanie architektoniczne, którego żadna pojedyncza łatka platformy nie może w pełni rozwiązać.