К содержанию
Новости

Исследователи описали уязвимость GitHub, позволявшую читать приватные репозитории через ИИ-агента

Исследователи из Noma Security обнаружили уязвимость GitHub под названием GitLost. Она позволяла извлекать данные из приватных репозиториев через ИИ-агента платформы. Атака использовала технику indirect prompt injection: скрытые инструкции размещались в тикете или комментарии, после чего агент воспринимал их как обычные команды.

Как пишет Numerama, для такого сценария не требовались ни учетные данные, ни специальная техническая подготовка. Достаточно было создать тикет в публичном репозитории организации, которая использует Agentic Workflows. В примере, который описали исследователи, автоматический workflow запускался после назначения тикета. Агент читал текст обращения, имел доступ на чтение ко всем репозиториям организации и публиковал ответ в открытом комментарии.

По данным Noma Security, в одном из тестов агент получил содержимое файла README.md из приватного репозитория и вставил его в публичный комментарий к тикету. Исследователи также заявили, что смогли обойти часть защитных механизмов GitHub, добавив в инструкции слово «Additionally». Из-за этого система не блокировала ответ, а переформулировала его.

GitHub представил Agentic Workflows в конце июня 2026 года. Функция объединяет GitHub Actions с ИИ-агентом на базе Claude или GitHub Copilot и позволяет описывать автоматизации на естественном языке. По словам исследователей, о проблеме сообщили GitHub ответственным способом, однако публичной реакции компании на момент публикации не было.

Ключевые факты

  • GitLost был публично раскрыт 6 июля 2026 года

  • Agentic Workflows связывает GitHub Actions с агентом на базе Claude или GitHub Copilot

  • В описанном сценарии агент имел доступ на чтение ко всем репозиториям организации, публичным и приватным

  • Microsoft в июле 2025 года признавал, что indirect prompt injection связан с природой probabilistic language models и не имеет полностью надежного метода обнаружения