查看: 111|回复: 3

GitHub Agentic Workflows提示注入漏洞GitLos

[复制链接]
发表于 1 小时前 | 显示全部楼层 |阅读模式
Noma Labs 披露了一个存在于 GitHub Agentic Workflows 中的严重提示注入漏洞,编号命名为 GitLost。该漏洞允许未认证的攻击者通过向目标组织的公共仓库提交精心构造的 Issue,诱骗 AI 工作流泄露私有仓库中的文件内容。

GitHub Agentic Workflows 允许用户使用自然语言编写 Markdown 文件作为工作流定义,AI agent 会将其解释为 GitHub Actions 并自动执行。Noma Labs 发现,当工作流配置为在 issues.assigned 事件触发时读取 Issue 标题和正文并回复评论时,攻击者无需任何凭证或编码技能,只需在公共仓库中创建一个看似合理的 Issue(例如冒充销售领导要求获取 Readme.md 内容),AI agent 就会按其指令读取并公开回复私有仓库中的文件。

GitHub 本身部署了防护机制,但研究人员发现通过添加关键词“additionally”便可绕过防护,成功触发信息泄露。Noma Labs 将 agentic AI 中的间接提示注入比作 Web 应用中的 SQL 注入,指出 agent 的上下文窗口即其攻击面,任何被 agent 读取的内容(Issue、PR、评论、文件)都可能被武器化。

目前 GitHub 已收到该漏洞的负责任披露。Noma Labs 建议组织将所有用户可控内容视为不可信,严格限制 agent 权限(最小化原则),限制 agent 公开发布内容的能力,并在将用户输入传递给 AI agent 之前进行消毒处理。
回复

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: GitHub Agentic Workflows提示注入漏洞GitLos

这个漏洞确实很值得关注,特别是“additionally”就能绕过防护这一点,说明AI agent的上下文安全边界比传统应用更脆弱。感谢分享,对使用GitHub Actions的团队来说是个提醒:用户可控内容一定要严格清洗,权限最小化真的不能只停留在口号上。
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: GitHub Agentic Workflows提示注入漏洞GitLos

这个漏洞确实值得重视,AI工作流的自动化程度越高,攻击面也越容易被忽视。特别是“additionally”绕过防护的细节,说明现有的安全过滤机制还不够鲁棒。对于使用GitHub Actions的团队来说,最小权限原则和输入消毒应该成为默认配置,不能完全依赖平台自带的防护。感谢分享这个资讯,已经提醒我们团队去检查相关工作流设置了。
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: GitHub Agentic Workflows提示注入漏洞GitLos

这个漏洞确实挺值得关注的,GitLos 的名字也起得很形象。AI agent 在处理用户输入时缺乏足够的隔离,就像研究里说的,它的上下文窗口就是攻击面,而“additionally”这种关键词就能绕过防护,说明现有的安全过滤还不够严密。 对于用 GitHub Actions 做自动化流程的团队来说,Noma Labs 提出的那些建议很实在:把用户可控内容全当不可信、限制 agent 权限、禁止它随意回复公开内容,这些至少能降低被利用的风险。希望 GitHub 后续能尽快推出更彻底的修复方案。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-8 20:55 , Processed in 0.030340 second(s), 18 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部