Исследователи описали атаку на GitHub Agentic Workflows с утечкой данных из приватных репозиториев

Компания Noma Security сообщила об уязвимости в preview-версии GitHub Agentic Workflows. Через prompt injection злоумышленники могут получить данные из приватных репозиториев и опубликовать их в открытом доступе. Исследователи утверждают, что для атаки достаточно специально подготовленного GitHub issue в публичном репозитории.
Проблема возникает, если AI-агент имеет доступ на чтение к приватным репозиториям внутри той же организации. В таком случае он способен извлечь чувствительные данные и разместить их в публичном комментарии. Как сообщает InfoWorld, в Noma Security этот сценарий назвали GitLost.
GitHub Agentic Workflows совмещают GitHub Actions с AI-моделями вроде Claude и GitHub Copilot. Разработчики могут описывать рабочие процессы в Markdown, а AI-агенты затем самостоятельно читают issues, вызывают инструменты и выполняют задачи. Исследователь Noma Security Саси Леви отметил, что атака относится к классу indirect prompt-injection. При таком сценарии приватные данные могут незаметно утекать в публичный доступ.
Ключевые факты
Noma Security описала атаку под названием GitLost
Атаку можно инициировать через специально созданный GitHub issue в публичном репозитории
GitHub Agentic Workflows используют GitHub Actions вместе с моделями Claude и GitHub Copilot
Рабочие процессы в GitHub Agentic Workflows задаются в формате Markdown