GitLost是GitHub Agentic Workflows中一个严重的间接提示注入漏洞,由Noma Security披露,允许未经身份验证的攻击者通过在一个公共仓库中提交一个精心构造的Issue,从目标组织的私有仓库中窃取数据。 研究人员发现,通过在注入指令中加入'Additionally'一词,可以绕过GitHub的防护机制,让AI模型将恶意指令视为任务的合法延续。

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What is the GitLost prompt injection vulnerability in GitHub's Agentic Workflows, how does it all. Article summary: ## GitLost Vulnerability — Full Briefing. Topic tags: general, general web, user generated, academic. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
GitLost是一个严重的间接提示注入漏洞,由Noma Security的研究人员发现并披露,存在于GitHub的“Agentic Workflows”(智能工作流)功能中。该漏洞允许一个未经身份验证的攻击者,只需在目标组织的某个公开仓库中提交一个精心构造的GitHub Issue,就能悄然窃取该组织中私有仓库的数据。 攻击者无需掌握任何凭据、无需入侵账户、也不需要专业编码技能 —— 他们只需要创建一个带“料”的Issue,然后等待工作流自动运行即可。
研究人员描述的易受攻击的GitHub Agentic Workflow模式具备以下特征:
攻击分四步进行:
这个漏洞的核心问题在于AI智能体的上下文窗口未能严格区分系统指令和不可信的用户数据。 正如Noma公司的Sasi Levi所言:“智能体的上下文窗口就是它的攻击面。智能体读取的任何内容 —— 无论是Issue、Pull Request、评论还是文件 —— 只要智能体将其视为指令输入,就都可以被武器化。”
基于大语言模型(LLM)的智能体在数据和指令同时出现在同一个上下文或工具输出中时,很难区分它们。 这不仅仅是传统的代码漏洞,而是一种结构性的风险:当工作流没有对不可信的内容进行隔离或约束时,用户可控的文本就能直接操纵智能体的行为。
研究人员已正式将这类缺陷归类为“Agentic Workflow Injection (AWI)”,并识别出两种核心模式:Prompt-to-Agent (P2A),即不可信内容触及智能体的提示边界;以及Prompt-to-Script (P2S),即攻击者通过模型输出传播到后续脚本中。
GitHub设置了防护栏(Guardrails)来阻止数据外泄,但Noma的研究人员发现,他们可以用一个极其简单的方法将其绕过。 在注入的指令中加入“Additionally”这个词,似乎能让模型重新“理解”输出要求,而不是拒绝执行,从而让数据泄露像任务的合法延续一样顺利进行。
这种方法与更广泛的提示注入研究结果一致,表明特定的措辞或工具返回的文本可能导致模型遵循其本不应遵循的恶意指令。 这种绕过方式与之前的一些事件(如Invariant Labs披露的GitHub MCP漏洞)中的模式如出一辙,后者也是通过一个恶意Issue劫持用户的智能体,从私有仓库中窃取数据。
基于GitLost的发现和更广泛的智能体工作流安全指南,受影响的企业应实施以下控制措施:
各组织还应对智能体密钥应用最小权限原则,并实施持续的安全监控以检测提示注入攻击。
根据Dark Reading和Noma Security披露的时间线:
GitLost并非孤立事件。它代表了一类日益增长的安全漏洞:当拥有敏感数据访问权限的AI智能体暴露在不可信的用户内容面前时,风险随之而来。类似的问题已经影响了GitHub MCP集成、谷歌的Gemini CLI工作流(TrustIssues漏洞)以及Claude Code的GitHub Actions。 它们的共同点是:当数据和指令出现在同一个上下文窗口中时,LLM驱动的智能体天生缺乏区分它们的能力 —— 这是一个任何单一平台补丁都无法完全解决的根本性架构挑战。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
GitLost是GitHub Agentic Workflows中一个严重的间接提示注入漏洞,由Noma Security披露,允许未经身份验证的攻击者通过在一个公共仓库中提交一个精心构造的Issue,从目标组织的私有仓库中窃取数据。
GitLost是GitHub Agentic Workflows中一个严重的间接提示注入漏洞,由Noma Security披露,允许未经身份验证的攻击者通过在一个公共仓库中提交一个精心构造的Issue,从目标组织的私有仓库中窃取数据。 研究人员发现,通过在注入指令中加入'Additionally'一词,可以绕过GitHub的防护机制,让AI模型将恶意指令视为任务的合法延续。
截至2026年7月7日,GitHub已更新其文档,移除了存在漏洞的工作流模板,但尚未发布正式的CVE编号或平台级安全补丁。