Badacze z Noma Security odkryli, że publiczne zgłoszenie (issue) na GitHubie może skłonić funkcję Agentic Workflows do wycieku danych z prywatnych repozytoriów organizacji. Atak wymaga jedynie utworzenia pozornie zwykłego zgłoszenia, bez potrzeby posiadania skradzionych danych uwierzytelniających czy dostępu do organizacji, wykorzystując lukę pośredniego wstrzykiwania promptów (indirect prompt injection).
Technika nazwana GitLost wykorzystuje fakt, że agenty AI nie potrafią odróżnić instrukcji od właściciela od tych ukrytych w przetwarzanych treściach, co pozwala na manipulowanie ich uprawnieniami i przekierowanie do ujawniania prywatnych danych. Chociaż GitHub wdrożył zabezpieczenia, takie jak sandboxing i skanowanie wyników, badacze wykazali, że prosta modyfikacja zapytania może je ominąć, podkreślając architektoniczne ograniczenia w rozróżnianiu danych od instrukcji w języku naturalnym. Zaleca się ograniczenie uprawnień tokenów dostępowych i przeglądanie wyników działania agentów, aby zminimalizować ryzyko.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)