К содержанию
Новости

Noma Labs описала атаку на GitHub Agentic Workflows через GitHub Issue

Noma Labs описала атаку на GitHub Agentic Workflows через GitHub Issue
Фото: SecurityLab (by Positive Technologies)

Исследователи Noma Labs описали сценарий, при котором GitHub Agentic Workflows может раскрыть содержимое закрытого репозитория через обычную заявку в системе отслеживания ошибок. Уязвимость под названием GitLost связана с косвенной инъекцией команд: агент принимал текст пользователя за служебные инструкции и выполнял их с правами владельца проекта.

GitHub Agentic Workflows сочетает GitHub Actions и ИИ-агента на базе Claude или GitHub Copilot. Как пишет SecurityLab (by Positive Technologies), процесс запускался после назначения заявки, считывал её заголовок и описание, а затем получал возможность просматривать открытые и закрытые репозитории организации, а также публиковать комментарии. В демонстрации исследователи создали заявку от имени вице-президента по продажам. После этого агент получил файлы README.md из открытого и закрытого репозиториев и выложил их содержимое в общедоступном комментарии.

По данным Noma Labs, ограничения удалось обойти с помощью простой формулировки. Добавление слова «Additionally» меняло структуру ответа модели и позволяло избежать отказа, хотя запрос касался раскрытия данных. О реальных атаках на чужие проекты исследователи не сообщали. Компания передала информацию GitHub в рамках ответственного раскрытия и посоветовала не считать пользовательский текст доверенным, ограничивать права агентов и отделять пользовательский ввод от служебных инструкций перед обработкой моделью.

Ключевые факты

  • GitLost была связана с косвенной инъекцией команд через текст GitHub Issue

  • GitHub Agentic Workflows работает с ИИ-агентом на базе Claude или GitHub Copilot

  • В демонстрации агент опубликовал содержимое README.md из открытого и закрытого репозиториев в публичном комментарии

  • По данным Noma Labs, слово «Additionally» помогало обойти защитные ограничения модели