Nowości
Luka GitLost pozwalała wykraść prywatne repozytoria przez zwykłe zgłoszenie na GitHubie
Posłuchaj tego artykułu
Spis treści
Badacze bezpieczeństwa z Noma Security opisali lukę nazwaną GitLost, która umożliwiała wyciągnięcie danych z prywatnych repozytoriów firmowych na GitHubie bez żadnych danych logowania, dostępu ani umiejętności programistycznych. Wystarczyło otworzyć pozornie zwyczajne zgłoszenie w publicznym repozytorium organizacji korzystającej z funkcji GitHub Agentic Workflows.
Jak działa atak
GitHub Agentic Workflows to funkcja uruchomiona w publicznym podglądzie w lutym 2026 roku, pozwalająca zamiast pisania skryptów automatyzacji, opisać zadanie agentowi AI zwykłym językiem angielskim w pliku Markdown. Agent, oparty na Claude lub GitHub Copilot, samodzielnie czyta zgłoszenia i pull requesty, uruchamia narzędzia i odpowiada bez nadzoru człowieka.
Problem polega na tym, że taki agent nie potrafi wiarygodnie odróżnić poleceń od właściciela organizacji od instrukcji ukrytych w treści, którą akurat czyta. Jeśli atakujący umieści polecenie wewnątrz treści zgłoszenia w publicznym repozytorium, agent może je po prostu wykonać. To znany typ podatności określany jako pośrednie wstrzyknięcie promptu.
Aby wykorzystać tę lukę, atakujący nie potrzebował umiejętności programistycznych, dostępu ani danych logowania. Wystarczyło otworzyć zgłoszenie w publicznym repozytorium organizacji korzystającej z GitHub Agentic Workflows i poczekać - Sasi Levi, szef działu badawczego, Noma Security
Skala zagrożenia
Ryzyko dotyczy organizacji, które włączyły podgląd funkcji i skonfigurowały agenta tak, by czytał niezaufane treści publiczne, jednocześnie mając dostęp do odczytu prywatnych repozytoriów i możliwość publikowania komentarzy publicznie. W praktyce oznacza to firmy utrzymujące zarówno publiczne, jak i prywatne repozytoria pod tym samym kontem organizacyjnym, co jest częstą konfiguracją wśród firm technologicznych korzystających z GitHuba do rozwoju oprogramowania open source obok kodu wewnętrznego.
Badacze opisali też konkretną technikę obejścia zabezpieczeń GitHuba. Dodanie słowa Additionally do wstrzykniętego polecenia wystarczało, by przeformułować sposób, w jaki model interpretował dalszą część instrukcji, zamiast wywołać odmowę wykonania polecenia. Ten subtelny trik językowy okazał się skuteczny wobec mechanizmów zaprojektowanych właśnie po to, by zapobiegać tego typu wyciekom.
Brak reakcji GitHuba
Według ustaleń The Register, do momentu publikacji GitHub nie wdrożył żadnej poprawki. Badacze zaproponowali dokumentację zachęcającą do bezpieczniejszych strategii współdzielenia kluczy API między repozytoriami, ale GitHub nie opublikował takich wytycznych. Microsoft, właściciel GitHuba, nie odpowiedział na pytania dziennikarzy w tej sprawie.
Co to oznacza dla zespołów programistycznych
GitLost to kolejny w ostatnich tygodniach przykład luki wynikającej nie z błędu w kodzie, lecz z samej natury agentów AI działających na niezaufanych danych wejściowych. Zespoły korzystające z funkcji podglądu GitHub Agentic Workflows powinny do czasu poprawki ograniczyć zakres dostępu agentów wyłącznie do repozytoriów, w których agent działa, oraz unikać przyznawania szerokiego dostępu odczytu do prywatnych repozytoriów agentom obsługującym też treści publiczne.
Sprawa dokłada się do rosnącej listy podatności w narzędziach agentowych dla programistów ujawnionych w ostatnich tygodniach, co pokazuje, że mechanizmy izolacji uprawnień w takich systemach wciąż nie nadążają za tempem wdrażania nowych funkcji autonomicznych agentów.
Źródła: The Register (theregister.com), The Hacker News (thehackernews.com)


