В GitHub обнаружена уязвимость для доступа к частным репозиториям

Компания Noma Labs, специализирующаяся на безопасности, сообщила о найденной критической уязвимости в недавно запущенных агентных рабочих процессах GitHub. Проблема GitLost, потенциально позволяет злоумышленникам получать доступ к содержимому приватных репозиториев без прохождения аутентификации.

В GitHub обнаружена уязвимость для доступа к частным репозиториям
Источник

В апреле GitHub представил функцию Agentic Workflows, которая объединяет систему автоматизации GitHub Actions с возможностями искусственного интеллекта (на базе Claude или Copilot). Это позволяет разработчикам описывать задачи на естественном языке в файлах Markdown, а ИИ-агент самостоятельно преобразует их в исполняемые сценарии и взаимодействует с репозиториями.

Исследователи выяснили, что в определенных конфигурациях агент может быть подвержен атаке с косвенным внедрением подсказок. Этот класс уязвимостей характерен для систем ИИ: злоумышленник размещает скрытые инструкции в данных, которые считывает модель, заставляя ее выполнять действия, не предусмотренные оператором.

Уязвимый сценарий предполагает, что рабочий процесс настроен на автоматическую реакцию на события в системе управления задачами, например, при назначении исполнителя. Агент при этом имеет права на чтение других репозиториев в организации.

Злоумышленнику достаточно создать задачу  в любом публичном репозитории организации, принадлежащем той же компании, и добавить в описание специально сформированный текст. После активации рабочего процесса агент следует скрытым инструкциям, читает файлы из закрытых репозиториев и выводит их содержимое в виде публичного комментария к задаче.

Для проведения атаки не требуются знания программирования, учетные данные или специальный доступ — достаточно возможности создать задачу в публичном репозитории.

В ходе тестирования исследователи обнаружили, что встроенные защитные механизмы GitHub не всегда срабатывали корректно. В некоторых случаях, при определенных формулировках запроса (например, с использованием слова «Дополнительно»), модель меняла свое поведение и выдавала запрашиваемые данные в обход ограничений.

Эксперты отмечают, что инцидент демонстрирует фундаментальную проблему безопасности, характерную для многих систем ИИ: любой контент, который читает агент (задачи, комментарии, файлы), может быть использован как вектор атаки. Если в традиционных системах границы доверия определяются кодом, то в агентных системах они частично зависят от поведения модели, которая по своей природе стремится следовать инструкциям из входных данных.

Компания GitHub была уведомлена об уязвимости, а технические детали и примеры воспроизведения были опубликованы Noma Labs в открытом доступе для ознакомления сообщества.

Что будем искать? Например,ChatGPT

Мы в социальных сетях