Biztonsági kutatók egy új, GitLost nevű támadási technikát mutattak be, amely képes lehet rávenni a GitHub AI-alapú Agentic Workflows rendszerét arra, hogy privát repositorykból származó bizalmas adatokat tegyen közzé nyilvános felületen.
A támadás nem igényel ellopott hitelesítő adatokat, malware-t, jogosultságnövelést vagy közvetlen behatolást a szervezet infrastruktúrájába.
A probléma az AI-agentek egyik alapvető biztonsági kihívásából ered: nehezen tudják megbízhatóan megkülönböztetni a legitim utasításokat a nem megbízható tartalomba rejtett rosszindulatú parancsoktól.
Mi az a GitLost?
A GitLost egy indirect prompt injection támadás.
Ez azt jelenti, hogy a támadó nem közvetlenül az AI-modellt támadja, hanem olyan külső tartalomba rejt rosszindulatú utasítást, amelyet az AI-agentnek feldolgoznia kell.
A Noma Security kutatói szerint elég lehet egy ártalmatlannak tűnő nyilvános GitHub issue létrehozása.
A bejegyzés látszólag egy szokványos ügyfélkérés vagy fejlesztési feladat, azonban elrejtve olyan utasításokat tartalmazhat, amelyek arra kérik az AI-agentet, hogy olvasson ki adatokat egy privát repositoryból, majd tegye közzé azokat egy nyilvános kommentben.
Hogyan működik a támadás?
A támadási lánc egyszerű, de veszélyes.
A támadó:
- létrehoz egy nyilvános GitHub issue-t;
- a szövegbe rosszindulatú promptot rejt;
- megvárja, amíg az Agentic Workflow feldolgozza az issue-t;
- az AI-agent a saját jogosultságaival hozzáfér privát repositorykhoz;
- majd a bizalmas tartalmat nyilvános kommentben publikálhatja.
A kutatók demonstrációja szerint az AI-agent egy privát README fájlt olvasott ki, majd annak tartalmát nyilvánosan látható GitHub-kommentben tette közzé.
Fontos: ez nem klasszikus GitHub sebezhetőség.
Nem történt autentikációs megkerülés, nem volt malware, és nem használtak ki hagyományos szoftverhibát.
Az AI-agent egyszerűen olyan utasítást hajtott végre, amelyet legitim feladatnak értelmezett.
Miért különösen veszélyes ez?
A GitHub Agentic Workflows célja, hogy az AI-agentek természetes nyelvű leírások alapján automatizáljanak fejlesztői feladatokat.
Ilyen feladatok lehetnek:
- issue triage;
- pull request review;
- dokumentációfrissítés;
- CI/CD hibák vizsgálata;
- biztonsági elemzés;
- dependency maintenance;
- cross-repository code discovery.
A hagyományos GitHub Actions determinisztikus utasításokat hajt végre. Az Agentic Workflows ezzel szemben nagy nyelvi modellekre támaszkodik, amelyek értelmezik a tartalmat és dinamikusan döntenek a következő lépésekről.
Ez rugalmasságot ad, de új támadási felületet is teremt.
Egyetlen szó is elég lehetett a védelem megkerüléséhez
A GitHub már eleve számolt prompt injection kockázatokkal, és több védelmi réteget épített be az Agentic Workflows rendszerbe.
Ilyenek például:
- alapértelmezett read-only jogosultságok;
- sandboxolt futtatási környezet;
- Agent Workflow Firewall;
- output validáció;
- fenyegetésdetektálás;
- integritásszűrők.
A kutatók szerint azonban ezek a védelmek bizonyos esetekben megkerülhetők voltak.
A tesztekben már az „Additionally” szó beszúrása is megváltoztatta, hogyan értelmezte a modell a rosszindulatú utasítást.
Ahelyett, hogy támadásként azonosította volna, a modell a kérést az eredeti feladat természetes folytatásának tekintette.
Ez jól mutatja, mennyire nehéz természetes nyelvű környezetben megbízhatóan szűrni a prompt injection próbálkozásokat.
A GitLost nem azt manipulálja, amit az AI mond, hanem amit tesz
A GitLost azért jelent új típusú kockázatot, mert nem pusztán az AI válaszát befolyásolja.
A támadás az AI-agent cselekvését irányítja.
A modern fejlesztői AI-agentek már nem egyszerű chatbotok. Sok esetben hozzáférhetnek:
- forráskódhoz;
- privát repositorykhoz;
- dokumentációkhoz;
- CI/CD rendszerekhez;
- fejlesztői titkokhoz;
- belső infrastruktúrához.
Ha a támadó befolyásolni tudja az AI-agent döntéshozatalát, akkor közvetve az agent jogosultságait használhatja fel saját céljára.
Ez a delegált bizalom problémája.
A „Lethal Trifecta” esete
A kutatás illeszkedik ahhoz a modellhez, amelyet Simon Willison „Lethal Trifecta” néven írt le.
Egy AI-rendszer különösen veszélyessé válhat, ha három feltétel egyszerre teljesül:
- hozzáfér érzékeny információkhoz;
- nem megbízható külső tartalmat dolgoz fel;
- képes információt továbbítani vagy közzétenni.
A GitLost esetében mindhárom feltétel teljesülhet.
Az AI-agent privát repositorykat olvashat, nyilvános issue-kat dolgoz fel, majd kommenteket publikálhat bárki számára látható módon.
Ez a prompt injectiont egyszerű manipulációból adat-exfiltrációs eszközzé alakítja.
Nem minden GitHub szervezet érintett egyformán
A kockázat nagyban függ attól, hogyan vannak konfigurálva az AI workflow-k.
A legnagyobb kockázatú környezetek azok, ahol:
- az AI-agent nyilvános issue-kat dolgoz fel;
- szervezeti szintű olvasási jogosultsága van;
- automatikusan publikálhat kommenteket;
- nincs emberi jóváhagyás a válaszok közzététele előtt;
- túl széles repository-hozzáférést kap.
Azok a szervezetek, amelyek szigorú least privilege modellt alkalmaznak, kisebb kockázatnak vannak kitéve.
Mit szivárogtathat ki egy ilyen támadás?
Ha az AI-agent túl széles jogosultságot kap, a támadás során kiszivároghatnak:
- privát forráskódok;
- belső dokumentációk;
- architektúra-leírások;
- konfigurációs fájlok;
- CI/CD metaadatok;
- API-kulcsok;
- repository tokenek;
- fejlesztői titkok.
Ez különösen veszélyes lehet szoftverfejlesztő cégeknél, SaaS szolgáltatóknál, pénzügyi szervezeteknél és minden olyan vállalatnál, ahol a forráskód vagy belső dokumentáció üzleti titoknak minősül.
A védekezés nem oldható meg pusztán szűrőkkel
A Noma Security szerint a prompt injection detektálása és az output filtering önmagában nem elegendő.
A hatékony védekezéshez az AI-agentek jogosultságait kell szigorúan korlátozni.
Javasolt intézkedések:
- repository szintű hozzáférés, nem szervezeti szintű tokenek;
- automatikus nyilvános kommentelés tiltása érzékeny workflow-k esetén;
- emberi jóváhagyás külsőleg látható válaszok előtt;
- csak megbízható felhasználók által indítható AI workflow-k;
- szigorú least privilege minden AI-integrációnál;
- az AI-agenteket potenciálisan kompromittált komponensként kell kezelni.
A cél nem az, hogy a prompt injectiont minden esetben felismerjük, hanem hogy egy sikeres manipuláció esetén is minimális legyen a kár.
AI-biztonság: új korszak a fejlesztői környezetekben
A GitLost jól mutatja, hogy az AI biztonsági problémái eltérnek a hagyományos szoftverhibáktól.
Itt nem memóriahibáról, SQL injectionről vagy hibás autentikációról van szó.
A probléma a bizalmi határok elmosódása.
Az AI-agent egyszerre olvas adatot, értelmez utasítást és hajt végre műveletet. Ha nem lehet megbízhatóan szétválasztani a feldolgozott adatot és a végrehajtandó utasítást, akkor a prompt injection rendszerszintű kockázattá válik.
Összegzés
A GitLost technika rávilágít arra, hogy az AI-alapú fejlesztői automatizáció új, komoly támadási felületet hoz létre.
A GitHub Agentic Workflows és hasonló rendszerek nagyban segíthetik a fejlesztői munkát, de csak akkor biztonságosak, ha az AI-agentek jogosultságai szigorúan korlátozottak.
A legfontosabb tanulság: az AI-agent nemcsak azt jelent kockázatot, amit tud, hanem azt is, amit megtehet.
A szervezeteknek ezért az AI-agenteket ugyanúgy kell kezelniük, mint bármely más magas kockázatú automatizált hozzáféréssel rendelkező rendszert: minimális jogosultság, auditálhatóság, emberi jóváhagyás és szigorú hozzáférés-szabályozás mellett.




