GitHub AI Agent 被曝提示注入漏洞,私有仓库数据可被窃取
Noma Labs 发现 GitHub Agentic Workflows 存在提示注入漏洞,攻击者可借公开仓库 iss…
安全研究机构 Noma Labs 披露了一项名为「GitLost」的严重漏洞:攻击者无需任何凭据,仅需在某个组织名下的公开仓库里发布一条精心构造的 GitHub Issue,就能让 GitHub 最新的 AI Agent——Agentic Workflows——静默地将该组织的私有仓库数据外泄至互联网上。漏洞利用的正是 AI Agent 系统中典型的间接提示注入(Indirect Prompt Injection)风险,再次为「让 LLM 自主读取外部内容」这一架构选择敲响安全警钟。
漏洞背景:GitHub Agentic Workflows
GitHub 近期上线了 GitHub Agentic Workflows,将原有的 GitHub Actions 自动化系统与一个由 Claude 或 GitHub Copilot 驱动的 AI Agent 相结合。其核心设计是:团队可以用纯 Markdown 编写工作流,AI Agent 会自主读取仓库中的 Issue、调用工具并做出响应。
这种「Agent 读取不可信输入并采取行动」的范式,是大模型从对话走向执行的关键一步,但也天然放大了提示注入的攻击面——Agent 无法可靠区分「真正来自操作者的指令」与「隐藏在数据中的恶意指令」。
攻击机制:一次间接提示注入
Noma Labs 将该漏洞归类为教科书级别的间接提示注入攻击。攻击流程大致如下:
- 攻击者在目标组织名下的某个公开仓库中创建一条 Issue,Issue 正文里嵌入隐藏的恶意指令;
- 该组织的 Agentic Workflows 在自动响应或处理 Issue 时,AI Agent 将其内容读入上下文;
- Agent 误将这些隐藏指令当作合法任务执行,进而访问、读取并外传该组织私有仓库中的数据。
整个过程无需认证,且对仓库管理员而言几乎是「静默」的——没有异常登录、没有可疑 PR,数据就这样流向外部。
为什么值得重视
GitLost 的意义不仅在于一个具体漏洞,更在于它揭示了当前 AI Agent 产品在权限与上下文隔离上的普遍短板:当 Agent 同时具备「读取外部输入」与「访问内部敏感资源」两种能力时,任何来自外部的内容都潜在地成为攻击载体。
- 对 GitHub 用户:使用 Agentic Workflows 的团队需立即审视其对公开 Issue 的处理逻辑,避免 Agent 对私有仓库拥有过宽权限。
- 对 AI Agent 行业:本次事件再次说明,提示注入防护、输入净化、最小权限原则以及人机确认环节,是 Agent 产品走向生产环境前必须解决的安全基线。
Noma Labs 在披露中给出了完整的 PoC 视频和详细技术说明,GitHub 方面尚未在已公开的截断文本中给出修复时间表,研究人员和受影响用户可关注后续补丁进展。
