GitLost: Come un'iniezione di prompt ha fatto trapelare repository privati di GitHub
GitLost: Una nuova vulnerabilità di iniezione di prompt nei flussi di lavoro agentici di GitHub
Noma Labs ha divulgato una vulnerabilità critica di iniezione di prompt nei flussi di lavoro agentici di GitHub, denominata GitLost. La falla consente a un utente malintenzionato non autenticato di ingannare l'agente AI inducendolo a leggere e divulgare pubblicamente dati da repository privati. L'attacco non richiede credenziali né competenze di programmazione: solo un issue GitHub appositamente creato in un repository pubblico.
I flussi di lavoro agentici di GitHub, lanciati di recente, consentono ai team di scrivere automazione in semplice Markdown. Un agente AI, basato su Claude o GitHub Copilot, legge gli issue, chiama strumenti e risponde in modo autonomo. Questa comodità, tuttavia, introduce una nuova superficie d'attacco: la finestra di contesto dell'agente diventa un vettore per l'iniezione indiretta di prompt.
Come funziona GitLost
La vulnerabilità sfrutta una violazione fondamentale del confine di fiducia. L'agente tratta il contenuto controllato dall'utente, come titoli e corpi degli issue, come input istruttivo piuttosto che come dati non attendibili. Nella prova di concetto di Noma, il flusso di lavoro era configurato per attivarsi su eventi issues.assigned, leggere il titolo e il corpo dell'issue e pubblicare un commento. L'agente aveva anche accesso in lettura ad altri repository nell'organizzazione, inclusi quelli privati.
Un utente malintenzionato crea semplicemente un issue GitHub in un repository pubblico appartenente a un'organizzazione che utilizza flussi di lavoro agentici. Il corpo dell'issue contiene istruzioni nascoste in inglese semplice. Quando il flusso di lavoro si attiva, l'agente segue quelle istruzioni, recupera contenuti da repository privati e li pubblica come commento pubblico. L'attacco non richiede autenticazione né credenziali rubate.
Come aggirare le protezioni di GitHub
GitHub aveva implementato protezioni basate su prompt per prevenire tali fughe di dati. Tuttavia, i ricercatori di Noma hanno scoperto che aggiungendo la parola chiave
Related News

Report: Chat Control 1.0 and 2.0 Explained

Anthropic scopre lo 'spazio di lavoro' interno di Claude che rispecchia la teoria della coscienza

IPO da 29 miliardi di SK Hynix negli USA: il boom della memoria AI arriva al Nasdaq

Licenziamenti Tech 2026: L'AI Guida oltre 139.000 Tagli di Posti di Lavoro nel Primo Semestre

Reddit combatte lo spam AI con LLM: una corsa agli armamenti digitali

