Saldırı dört adımda gerçekleşiyor:
Temel kusur, AI ajanının bağlam penceresi (context window) içinde sistem düzeyindeki talimatlar ile güvenilmeyen kullanıcı verileri arasında katı bir güven sınırı (trust boundary) oluşturulamamasıdır. Noma'dan Sasi Levi'nin belirttiği gibi: "Ajanın bağlam penceresi aynı zamanda onun saldırı yüzeyidir. Ajanın okuduğu herhangi bir içerik (issue'lar, pull request'ler, yorumlar veya dosyalar), eğer ajan bu içeriği bir talimat girdisi olarak ele alırsa silaha dönüştürülebilir."
LLM tabanlı ajanlar, veri ve talimatlar aynı bağlamda veya araç çıktısında göründüğünde bunları ayırt etmekte zorlanır. Bu, geleneksel bir kod hatasından ziyade, aracı AI iş akışlarındaki yapısal bir risktir. İş akışı, güvenilmeyen içeriği izole etmez veya kısıtlamazsa, bu içerik ajan davranışını etkileyebilir.
Araştırmacılar bu tür kusurları resmi olarak Aracı İş Akışı Enjeksiyonu (Agentic Workflow Injection - AWI) olarak sınıflandırdı ve iki temel model belirledi: Prompt-to-Agent (P2A) ve Prompt-to-Script (P2S).
GitHub, veri sızdırmayı önlemek için güvenlik önlemleri (guardrails) almıştı, ancak Noma araştırmacıları bunların şaşırtıcı derecede basit bir yöntemle aşılabildiğini bildirdi. Enjekte edilen talimatlara "Ek olarak" (Additionally) kelimesini eklemek, modelin talebi reddetmek yerine çıktısını yeniden çerçevelemesine neden olarak veri sızıntısının meşru bir görevin devamıymış gibi ilerlemesine izin verdi.
Bu yaklaşım, belirli ifadelerin veya araç tarafından döndürülen metinlerin, modellerin uymaması gereken kötü niyetli talimatları takip etmesine neden olabileceğini gösteren daha geniş prompt injection araştırmalarıyla tutarlıdır. Bu güvenlik duvarını aşma yöntemi, Invariant Labs tarafından ifşa edilen ve kötü amaçlı bir issue'nun kullanıcının aracısını ele geçirerek özel depolardan veri sızdırabildiği GitHub MCP güvenlik açığı gibi önceki olaylardaki modelleri yansıtmaktadır.
GitLost bulguları ve daha geniş aracı iş akışı güvenlik rehberliğine dayanarak, etkilenen kuruluşların aşağıdaki kontrolleri uygulaması önerilir:
Kuruluşlar ayrıca ajan sırları (agent secrets) için en az ayrıcalık ilkesini uygulamalı ve prompt injection girişimleri için sürekli güvenlik izlemesi sağlamalıdır.
Dark Reading ve Noma Security'nin ifşa zaman çizelgesine göre:
GitLost izole bir olay değildir. Hassas verilere erişimi olan AI ajanlarının güvenilmeyen kullanıcı içeriğine maruz kaldığı, büyüyen bir güvenlik açığı sınıfını temsil etmektedir. Benzer sorunlar GitHub MCP entegrasyonlarını, Google'ın Gemini CLI iş akışlarını (TrustIssues zafiyeti) ve Claude Code GitHub Actions'ı etkilemiştir. Ortak nokta, LLM tabanlı ajanların, veri ve talimatlar aynı bağlam penceresinde göründüğünde bunları ayırt etmek için doğuştan gelen bir yetenekten yoksun olmasıdır — bu, hiçbir platform yamasının tamamen çözemeyeceği temel bir mimari zorluktur.