GitLost: Come un'iniezione di prompt ha fatto trapelare repository privati di GitHub
AI News

GitLost: Come un'iniezione di prompt ha fatto trapelare repository privati di GitHub

2 min
08/07/2026
GitLostGitHubprompt injectionAI security

GitLost: Una nuova vulnerabilità di iniezione di prompt nei flussi di lavoro agentici di GitHub

Noma Labs ha divulgato una vulnerabilità critica di iniezione di prompt nei flussi di lavoro agentici di GitHub, denominata GitLost. La falla consente a un utente malintenzionato non autenticato di ingannare l'agente AI inducendolo a leggere e divulgare pubblicamente dati da repository privati. L'attacco non richiede credenziali né competenze di programmazione: solo un issue GitHub appositamente creato in un repository pubblico.

I flussi di lavoro agentici di GitHub, lanciati di recente, consentono ai team di scrivere automazione in semplice Markdown. Un agente AI, basato su Claude o GitHub Copilot, legge gli issue, chiama strumenti e risponde in modo autonomo. Questa comodità, tuttavia, introduce una nuova superficie d'attacco: la finestra di contesto dell'agente diventa un vettore per l'iniezione indiretta di prompt.

continua a leggere sotto...

Come funziona GitLost

La vulnerabilità sfrutta una violazione fondamentale del confine di fiducia. L'agente tratta il contenuto controllato dall'utente, come titoli e corpi degli issue, come input istruttivo piuttosto che come dati non attendibili. Nella prova di concetto di Noma, il flusso di lavoro era configurato per attivarsi su eventi issues.assigned, leggere il titolo e il corpo dell'issue e pubblicare un commento. L'agente aveva anche accesso in lettura ad altri repository nell'organizzazione, inclusi quelli privati.

Un utente malintenzionato crea semplicemente un issue GitHub in un repository pubblico appartenente a un'organizzazione che utilizza flussi di lavoro agentici. Il corpo dell'issue contiene istruzioni nascoste in inglese semplice. Quando il flusso di lavoro si attiva, l'agente segue quelle istruzioni, recupera contenuti da repository privati e li pubblica come commento pubblico. L'attacco non richiede autenticazione né credenziali rubate.

Come aggirare le protezioni di GitHub

GitHub aveva implementato protezioni basate su prompt per prevenire tali fughe di dati. Tuttavia, i ricercatori di Noma hanno scoperto che aggiungendo la parola chiave