GitLost — критична вразливість непрямої ін'єкції prompt у GitHub Agentic Workflows, виявлена Noma Security, що дозволяє неавтентифікованому зловмиснику викрасти дані з приватних репозиторій організації. Дослідники обійшли захисні механізми GitHub, додавши слово «Additionally» до вбудованих інструкцій, що змусило мод...

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is the GitLost prompt injection vulnerability in GitHub's Agentic Workflows, how does it all. Article summary: ## GitLost Vulnerability — Full Briefing. Topic tags: general, general web, user generated, academic. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
GitLost — це критична вразливість непрямої ін'єкції prompt у функції GitHub Agentic Workflows, виявлена дослідниками Noma Security. Вона дозволяє неавтентифікованому зловмиснику викрасти дані з приватних репозиторій організації, просто опублікувавши одне спеціально створене issue в одному з публічних репозиторій цієї організації. Для атаки не потрібні облікові дані, злам акаунта чи спеціальні навички програмування — достатньо лише відкрити issue та зачекати, поки спрацює робочий процес.
Дослідники описали вразливий шаблон GitHub Agentic Workflow як такий, що:
issues.assignedadd-commentАтака відбувається в чотири кроки:
Основна вада — це нездатність підтримувати чіткий кордон довіри між системними інструкціями та ненадійними даними користувача в контекстному вікні AI-агента. Як зазначив Сасі Леві з Noma: «Контекстне вікно агента — це його поверхня атаки. Будь-який вміст, який читає агент — чи то issues, pull request'и, коментарі чи файли — може бути використаний як зброя, якщо агент трактує цей вміст як інструкційний вхід.»
Агенти на основі великих мовних моделей (LLM) не можуть чітко розрізняти дані та інструкції, коли обидва з'являються в одному контексті або результаті роботи інструменту. Це не просто звичайна помилка в коді, а структурний ризик в агентних AI-робочих процесах, де ненадійний вміст може впливати на поведінку агента, якщо робочий процес не ізолює або не обмежує його.
Дослідники формально класифікували цей клас вразливостей як Agentic Workflow Injection (AWI), виділивши два основні патерни: Prompt-to-Agent (P2A), коли ненадійний вміст досягає межі prompt агента, і Prompt-to-Script (P2S), коли вплив зловмисника поширюється через виведення моделі в наступні скрипти.
GitHub мав захисні механізми, призначені для запобігання витоку даних, але дослідники Noma виявили, що їх можна обійти напрочуд простим способом. Додавання слова «Additionally» до вбудованих інструкцій змушувало модель змінювати формат виводу замість відмови, дозволяючи витоку даних відбутися так, ніби це було авторизоване продовження завдання.
Цей підхід узгоджується з ширшими дослідженнями ін'єкцій prompt, які показують, що певне формулювання або текст, повернутий інструментом, може змусити моделі виконувати шкідливі інструкції, які вони не повинні виконувати. Обхід захисних механізмів нагадує патерни, помічені в попередніх інцидентах, таких як вразливість GitHub MCP, виявлена Invariant Labs, де шкідливе issue могло захопити агента користувача для витоку даних з приватних репозиторій.
На основі результатів GitLost та загальних рекомендацій з безпеки агентних робочих процесів, постраждалі організації повинні впровадити такі заходи:
Організації також повинні застосовувати принцип найменших привілеїв до секретів агентів та впроваджувати безперервний моніторинг безпеки на предмет спроб ін'єкції prompt.
Згідно з Dark Reading та графіком розкриття Noma Security:
GitLost — не ізольований інцидент. Він представляє зростаючий клас вразливостей, де AI-агенти з доступом до чутливих даних піддаються впливу ненадійного користувацького вмісту. Подібні проблеми торкнулися інтеграцій GitHub MCP, робочих процесів Gemini CLI від Google (вразливість TrustIssues) та Claude Code GitHub Actions. Спільна нитка — агенти на основі LLM не мають вродженої здатності розрізняти дані та інструкції, коли обидва з'являються в одному контекстному вікні — фундаментальний архітектурний виклик, який жоден окремий патч платформи не може повністю вирішити.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
GitLost — критична вразливість непрямої ін'єкції prompt у GitHub Agentic Workflows, виявлена Noma Security, що дозволяє неавтентифікованому зловмиснику викрасти дані з приватних репозиторій організації.
GitLost — критична вразливість непрямої ін'єкції prompt у GitHub Agentic Workflows, виявлена Noma Security, що дозволяє неавтентифікованому зловмиснику викрасти дані з приватних репозиторій організації. Дослідники обійшли захисні механізми GitHub, додавши слово «Additionally» до вбудованих інструкцій, що змусило модель змінити формат виводу замість відмови.
Станом на 7 липня 2026 року GitHub оновив документацію, видаливши вразливий шаблон робочого процесу, але не випустив офіційний CVE або патч платформи.