GitLost: una vulnerabilidad en los flujos agentivos de GitHub filtra repositorios privados

Fuentes: GitLost: How We Tricked GitHub's AI Agent into Leaking Private Repos

Investigadores de Noma Labs han descubierto una vulnerabilidad crítica de inyección de instrucciones en los nuevos GitHub Agentic Workflows, bautizada como GitLost, que permite a un atacante sin credenciales extraer datos de repositorios privados de una organización. El fallo reside en que el agente de IA que ejecuta estos flujos, basados en Claude o GitHub Copilot, procesa el contenido de issues públicos como si fueran instrucciones legítimas en lugar de datos no confiables.

Para explotarlo basta con abrir un issue en un repositorio público de la organización objetivo. Cuando el flujo automatizado, configurado para activarse con eventos de asignación de issues, lee el título y el cuerpo del mensaje, el atacante esconde comandos en inglés que el agente sigue sin necesidad de permisos especiales. El agente accede entonces a otros repositorios de la organización —públicos y privados— y publica su contenido como comentario en el issue público, accesible para cualquiera.

Los investigadores explican que las restricciones de seguridad de GitHub pueden eludirse añadiendo palabras como "Additionally", que inducen al modelo a reencuadrar su respuesta en lugar de bloquearla. Con el apoyo de pruebas de concepto públicas, Noma Labs recomienda a desarrolladores y responsables de seguridad tratar todo contenido controlado por usuarios como entrada no confiable, reducir al mínimo los permisos de los agentes, limitar lo que pueden publicar y aislar las instrucciones de los datos del usuario. La vulnerabilidad fue divulgada de forma responsable a GitHub antes de su publicación.