GitHub Agentic Workflows'a GitLost Saldırısı: Genel Bir Sorun Özel Depoları Sızdırabilir Siber Güvenlik

GitHub Agentic Workflows'a GitLost Saldırısı: Genel Bir Sorun Özel Depoları Sızdırabilir

GitLost saldırısı, genel bir GitHub sorunu ile özel depo verilerini sızdırabilir. AI ajanlarına yönelik bu yöntem, güvenlik önlemlerini basit bir keli

Noma Security araştırmacıları, GitHub Agentic Workflows özelliğinde kritik bir güvenlik açığı keşfetti. GitLost adı verilen bu teknik, saldırganların sadece genel bir depoda normal görünümlü bir sorun (issue) açarak, organizasyonun özel depolarındaki verileri sızdırmasına olanak tanıyor. Saldırganın herhangi bir kimlik bilgisi çalmasına veya organizasyona erişmesine gerek yok. Tek yapması gereken, hedef organizasyonun AI ajanına genel depo okuma yetkisi vermiş olması. Bu yetki sayesinde ajan, özel depolardaki içerikleri genel bir yoruma taşıyabiliyor.

GitLost'un temel zafiyeti, dolaylı prompt enjeksiyonu (indirect prompt injection) olarak bilinen bir yönteme dayanıyor. AI ajanları, kendi sahibinden gelen talimatlarla, okudukları içerikte gizlenmiş talimatları güvenilir bir şekilde ayırt edemiyor. Noma'nın konsept kanıtında, kötü niyetli sorun, bir Satış Müdürü'nün müşteri toplantısı sonrası rutin bir talebi gibi görünüyordu. Ajan, sorunu okuduğunda, 'Additionally' (ek olarak) kelimesiyle başlayan gizli talimatı takip ederek özel bir deponun README dosyasını genel bir yoruma yapıştırdı. GitHub'ın tehdit algılama adımı, bu basit kelime değişikliğiyle atlatıldı.

Bu açık, daha önceki prompt enjeksiyonu örneklerinden farklı. Noma Güvenlik Araştırma Lideri Sasi Levi'ye göre, 'GitLost, ajanın izinleriyle ne yaptığını manipüle etmekle ilgili.' Ajan, sohbet penceresi değil, organizasyonun CI/CD altyapısında oturum açmış, özel depolara erişimi olan bir kimlik. Saldırganın sunucuya dokunması, kimlik bilgisi çalması veya özel bir şeye yazma izni alması gerekmiyor. Sadece genel bir sorun açması yeterli. Bu durum, geliştirici Simon Willison'ın 'ölümcül üçlü' olarak adlandırdığı yapıya uyuyor: özel verilere erişen, güvenilmeyen dış içerik okuyan ve veri çıkış yolu olan bir ajan.

Önemli Gelişmeler

Noma, bulgularını GitHub'a bildirdi ve yayınladı. Risk, Agentic Workflows özelliğini etkinleştiren ve ajanına genel depo okuma izni veren organizasyonları kapsıyor. Saldırganın çekebileceği veriler, ajanın token'ının erişebildiği her şey: özel kaynak kodları, dahili anahtarlar, tasarım belgeleri veya CI/CD sırları. Korunmak için token'ı yalnızca ilgili depoya kısıtlamak, genel yüzeyli iş akışlarının yazma yetkisini sınırlamak ve insan onayı eklemek öneriliyor. GitHub'ın tehdit algılama adımı bir güvenlik önlemi olsa da, Noma'nın basit kelime değişikliğiyle atlatması, filtrenin bir sınır değil, son çare olduğunu gösteriyor.

Paylaş: