GitHub AIエージェントが非公開リポジトリを漏洩する脆弱性を発見
原題: GitLost: We Tricked GitHub's AI Agent into Leaking Private Repos
なぜ重要か
AIエージェントが組織内リポジトリに横断的にアクセスできる環境では、プロンプトインジェクション対策が企業情報保護の新たな重要課題となることを示している。
セキュリティ企業Noma Labsは2026年7月6日、GitHubの新機能「GitHub Agentic Workflows」に重大なプロンプトインジェクション脆弱性を発見したと発表した。攻撃者は同組織の公開リポジトリにIssueを投稿するだけで、認証なしに非公開リポジトリのデータを外部に流出させることが可能であることが確認された。
Noma Labsのセキュリティ研究者Sasi Leviは、GitHubが新たに提供を開始した「GitHub Agentic Workflows」において、「GitLost」と命名された重大な脆弱性を発見した。
GitHub Agentic WorkflowsはGitHub Actionsと、ClaudeまたはGitHub Copilotを基盤とするAIエージェントを組み合わせた機能で、チームがMarkdownファイルでワークフローを記述し、AIエージェントがIssueの読み取り・ツールの呼び出し・自動応答を行う仕組みとなっている。
今回発見された脆弱性の根本原因はプロンプトインジェクションである。GitHubのAIエージェントは、システムレベルの指示と信頼できないユーザーデータとの間の信頼境界を適切に維持していなかった。これにより、攻撃者が公開リポジトリのIssue本文に悪意のある英語の指示を埋め込むと、エージェントがその指示を正規の命令として実行してしまう。
今回発見された脆弱性のある設定は、「issues.assigned」イベントをトリガーとしてIssueのタイトルと本文を読み取り、「add-comment」ツールでコメントを投稿し、さらに同一組織内の公開・非公開の両リポジトリへの読み取りアクセス権を持った状態で動作していた。この設定により、認証されていない外部の攻撃者が、同組織内の非公開リポジトリのデータを静かに引き出すことが可能となっていた。
Noma Labsはこの攻撃の実証動画も公開しており、間接的なプロンプトインジェクション攻撃がいかに容易にAIエージェントを悪用できるかを示している。