Krytyczna podatność w GitHub AI: Prywatne kody źródłowe zagrożone wyciekiem

Badacze z firmy Noma Security odkryli poważną lukę w zabezpieczeniach agentów sztucznej inteligencji platformy GitHub, która umożliwia nieautoryzowany dostęp do poufnych danych. Wykorzystując technikę wstrzykiwania poleceń, napastnicy mogą skłonić system do publicznego udostępnienia zawartości prywatnych repozytoriów organizacji.
Pułapka ukryta w publicznych zgłoszeniach
Metoda nazwana przez odkrywców GitLost opiera się na umieszczeniu złośliwych instrukcji w zwykłym zgłoszeniu błędu lub propozycji zmian w publicznym repozytorium. Sztuczna inteligencja obsługująca przepływy pracy w usłudze GitHub Agentic Workflows interpretuje te treści jako wiarygodne instrukcje zamiast zwykłego tekstu. W efekcie agent, posiadający szerokie uprawnienia wewnątrz danej organizacji, pobiera wrażliwe pliki z zamkniętych projektów i zamieszcza ich treść w formie publicznie widocznego komentarza. Podczas testów naukowcy wykazali, że wystarczy drobna zmiana sformułowań, aby skutecznie ominąć standardowe mechanizmy obronne wbudowane w model językowy.
Błędy w architekturze uprawnień systemowych
Eksperci wskazują, że fundamentem problemu jest sposób, w jaki przyznawane są uprawnienia automatom wykonawczym. Vibhum Dubey, niezależny badacz bezpieczeństwa, zauważa, że agenty AI operują na modelu uprawnień konta serwisowego, a nie konkretnego użytkownika, co zaciera tradycyjne granice ochronne. Według niego sztuczna inteligencja nie odróżnia zasobów prywatnych od publicznych, widząc jedynie te, do których ma techniczny dostęp. Sasi Levi z Noma Security podkreśla, że każdy agent AI mający dostęp do niezweryfikowanych treści zewnętrznych oraz wrażliwych zasobów wewnętrznych staje się mostem dla intruzów, o ile nie zostaną narzucone ścisłe restrykcje.
Konieczność wdrożenia nowych standardów kontroli
Aby zminimalizować ryzyko podobnych incydentów, specjaliści sugerują odejście od szerokich uprawnień na rzecz precyzyjnych list dozwolonych repozytoriów. Niezbędne staje się również traktowanie każdego wpisu użytkownika, takiego jak opisy w pull requestach czy komentarze, jako danych potencjalnie niebezpiecznych, które wymagają weryfikacji przed przekazaniem do modelu AI. Specjaliści zalecają także przygotowanie awaryjnych mechanizmów pozwalających na natychmiastowe wyłączenie przejętego agenta. Wydarzenie to rzuca nowe światło na zagrożenia płynące z automatyzacji procesów programistycznych bez odpowiedniego zabezpieczenia kontekstu ich pracy.





















