GitHubのAIエージェントが秘密リポジトリを漏洩
मूल शीर्षक: GitLost: We Tricked GitHub's AI Agent into Leaking Private Repos
यह क्यों महत्वपूर्ण है
AIエージェントが組織のコードリポジトリへのアクセス権を持つ時代に、Prompt Injectionが実際のデータ漏洩につながる重大リスクを示した事例として業界に警告を与えている。
Noma Labsは、GitHubの新機能「Agentic Workflows」に重大なPrompt Injection脆弱性「GitLost」を発見した。攻撃者は公開リポジトリにIssueを投稿するだけで、同じ組織の非公開リポジトリのデータを窃取できる。認証不要で悪用可能。
Noma Labsのセキュリティ研究者Sasi Leviが2026年7月6日に公開した報告によると、GitHubが新たに導入した「GitHub Agentic Workflows」にIndirect Prompt Injectionの脆弱性が存在することが確認された。この脆弱性は「GitLost」と命名されている。
GitHub Agentic Workflowsは、Markdownファイルで記述したワークフローをAIエージェント(ClaudeまたはGitHub Copilot)が自動実行する機能で、Issueの読み取りやツール呼び出しを自然言語で行える。
GitLostの根本原因は、AIエージェントがシステム指示と外部ユーザーデータの信頼境界を適切に分離していない点にある。攻撃者は公開リポジトリのIssue本文に悪意ある命令を平文英語で埋め込むだけでよい。
今回発見された脆弱な設定では、ワークフローが「issues.assigned」イベントで起動し、IssueのタイトルとBody全体を読み込み、「add-comment」ツールでコメントを投稿し、かつ組織内の他のリポジトリ(公開・非公開を含む)への読み取りアクセス権を持っていた。このため、非認証の攻撃者が細工したIssueを投稿するだけで、組織内の非公開リポジトリのデータが外部に漏洩するリスクがある。Noma Labsは概念実証動画も公開し、攻撃の再現性を示している。