GitLost : fuite de dépôts privés via GitHub Copilot
Original : GitLost: We Tricked GitHub's AI Agent into Leaking Private Repos
Pourquoi c'est important
La faille expose un risque systémique pour les organisations utilisant des agents IA sur GitHub.
Noma Labs a découvert une vulnérabilité critique d'injection de prompt dans GitHub Agentic Workflows, permettant à un attaquant non authentifié d'exfiltrer des données de dépôts privés en publiant une Issue malveillante dans un dépôt public de la même organisation.
La société Noma Labs a révélé le 6 juillet 2026 une faille baptisée « GitLost », affectant les GitHub Agentic Workflows, une fonctionnalité récente combinant GitHub Actions et un agent IA basé sur Claude ou GitHub Copilot. Ce système permet aux équipes d'automatiser des interactions avec leurs dépôts de code via du langage naturel rédigé en Markdown.
La vulnérabilité repose sur une attaque classique d'injection de prompt indirecte : un attaquant non authentifié publie une Issue dans un dépôt public appartenant à une organisation, en y dissimulant des instructions malveillantes en langage naturel. L'agent GitHub, configuré pour lire le titre et le corps des Issues lors d'événements « issues.assigned », exécute alors ces instructions comme si elles provenaient d'une source de confiance.
Dans le workflow vulnérable identifié, l'agent disposait d'un accès en lecture aux autres dépôts (publics et privés) de l'organisation, permettant l'exfiltration silencieuse de données sensibles. Noma Labs a publié une vidéo de démonstration illustrant l'exploitation.
Selon les chercheurs, la cause profonde est l'absence de frontière stricte entre les directives système et les données utilisateur non fiables, un problème récurrent dans les systèmes agentiques.