文章总结: NomaLabs发现GitHubAgenticWorkflows存在GitLost提示注入漏洞,攻击者可通过在公共仓库中构造Issue诱导AI代理泄露私有仓库数据。该漏洞利用代理将用户控制内容视为指令的特性,绕过现有防护。建议将用户输入视为不可信、限制代理权限并清理输入。 综合评分: 85 文章分类: AI安全,漏洞分析,红队,渗透测试,安全建设
【安全圈】严重漏洞暴露 GitHub Agentic Workflows 面临提示注入风险
安全圈
2026年7月9日 19:00 江苏
在小说阅读器读本章
去阅读
关键词
漏洞
Noma Labs 警告称,GitHub Agentic Workflows 中存在一个严重的提示注入漏洞,可能允许未经认证的攻击者泄露私有仓库数据。
GitHub Agentic Workflows 允许用户使用 markdown 文件以自然语言编写工作流,AI 代理会将这些文件作为 GitHub Actions 使用,从而实现与代码仓库交互的自动化。
由于这个名为 GitLost 的安全缺陷,未经认证的攻击者可以将间接提示隐藏在精心构造的 GitHub Issue 中,这些 Issue 发布在同时维护私有仓库的组织的公共仓库上,而 AI 代理会遵循这些指令。
Noma Labs 发现,一个 GitHub Agentic Workflow 被配置为在 issues.assigned 事件上触发,读取 GitHub Issue 的标题和正文,并发布评论作为响应。
该公司表示,该工作流对该组织维护的公共和私有仓库均具有读取权限。
Noma 解释道:”要利用此漏洞,攻击者不需要编码技能、访问权限或凭据。所需要的只是在使用 GitHub Agentic Workflow 设置的组织所属的公共仓库中打开一个 Issue,然后等待。”
该网络安全公司确认,一个包含看似来自销售领导层的合理请求的精心构造的 GitHub Issue,可用于指示代理获取公共和私有仓库中 Readme.md 文件的内容,并将其作为公开评论发布。
虽然 GitHub 设有防护措施来防止此类攻击,但这些保护措施失效了,因为安全研究人员测试了带有变体的技术,最终通过添加关键词”additionally”触发了该行为。 Noma 表示,对于 AI 代理而言,间接提示注入相当于 Web 应用程序中的 SQL 注入,需要系统性的防御策略。
Noma 指出:”GitLost 完美地说明了每个组织在使用 AI 代理系统时面临的根本性安全挑战之一。代理的上下文窗口同时也是其攻击面。代理读取的任何内容——无论是 Issue、pull request、评论还是文件——如果代理将该内容视为指令性输入,都可能被武器化。”
该网络安全公司已负责任地向 GitHub 披露了其发现,并建议组织将所有用户控制的内容视为不可信,将代理权限限制在最低必要范围,限制代理可以公开发布的内容,并在用户输入传递给 AI 代理之前对其进行清理。
END
阅读推荐
【安全圈】支付宝花呗昨晚崩了
【安全圈】百万余条数据遭泄露!上海“黑客”非法牟利超50万元
【安全圈】Accenture 确认遭入侵,黑客兜售窃取的数据
【安全圈】新的 Januscape Linux 漏洞允许在 Intel 和 AMD 设备上实现虚拟机逃逸
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈 《【安全圈】严重漏洞暴露 GitHub Agentic Workflows 面临提示注入风险》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论