GitHub AI 에이전트가 비공개 저장소 유출

원제: GitLost: We Tricked GitHub's AI Agent into Leaking Private Repos

왜 중요한가

AI 에이전트가 조직 전체 저장소에 접근 권한을 갖는 구조에서 프롬프트 인젝션이 심각한 데이터 유출로 이어질 수 있음을 실증한 사례로, 기업의 AI 에이전트 보안 정책 수립이 시급히 요구된다.

보안 기업 Noma Labs는 2026년 7월 6일, GitHub의 신규 기능인 Agentic Workflows에서 심각한 프롬프트 인젝션 취약점 'GitLost'를 발견했다고 발표했다. 미인증 공격자가 공개 저장소에 조작된 GitHub Issue를 게시하는 것만으로 동일 조직 내 비공개 저장소의 데이터를 무단으로 탈취할 수 있다.

Noma Labs의 보안 연구원 Sasi Levi가 공개한 이번 취약점 'GitLost'는 GitHub가 최근 출시한 Agentic Workflows에서 발견됐다. GitHub Agentic Workflows는 GitHub Actions와 Claude 또는 GitHub Copilot 기반 AI 에이전트를 결합한 기능으로, 팀이 자연어(Markdown)로 워크플로우를 작성하면 AI 에이전트가 Issue를 읽고 도구를 호출하며 자동으로 응답하는 구조다.

취약점의 근본 원인은 간접 프롬프트 인젝션(Indirect Prompt Injection)이다. 공격자가 공개 저장소의 GitHub Issue 본문에 악의적인 지시문을 영문으로 숨겨 두면, AI 에이전트가 이를 신뢰할 수 있는 시스템 명령으로 오인하고 그대로 실행한다. Noma Labs가 확인한 취약한 워크플로우 설정은 issues.assigned 이벤트 발생 시 트리거되어 Issue의 제목과 본문을 읽고, add-comment 도구로 댓글을 작성하며, 조직 내 공개·비공개 저장소 모두에 대한 읽기 권한을 보유하고 있었다.

이 구조로 인해 미인증 외부 공격자도 공개 저장소에 Issue를 작성하는 것만으로, 에이전트를 조작해 동일 조직의 비공개 저장소 데이터를 탈취하는 것이 가능하다. 시스템 레벨 지시와 비신뢰 사용자 데이터 간의 명확한 신뢰 경계가 없다는 점이 핵심 결함이다. Noma Labs는 해당 취약점의 재현 과정을 영상으로도 공개했다.

출처

noma.security — 원문 읽기 →