GitHub Agentic Workflows'a Yeni Tehdit: GitLost ile Özel Depoların Sızdırılması Yazılım

GitHub Agentic Workflows'a Yeni Tehdit: GitLost ile Özel Depoların Sızdırılması

Noma Security araştırmacıları, GitHub Agentic Workflows'u hedef alan GitLost adlı bir saldırı tekniği keşfetti. Bu yöntemle, kötü niyetli bir kullanıc...

GitHub'ın yeni özelliği Agentic Workflows, geliştiricilere AI asistanları kullanarak otomasyon iş akışları oluşturma imkanı tanıyor. Ancak Noma Security araştırmacıları, bu özelliğin ciddi bir güvenlik açığı barındırdığını ortaya çıkardı. GitLost adı verilen teknikle, bir saldırgan herhangi bir kimlik bilgisi çalmadan veya kuruluşa erişim sağlamadan, sadece herkese açık bir depoda normal görünümlü bir issue açarak özel depoların içeriğini sızdırabiliyor. Bu saldırı, AI asistanının dolaylı prompt enjeksiyonu yoluyla manipüle edilmesine dayanıyor.

GitLost saldırısının temelinde, AI asistanlarının güvenilir kaynaklardan gelen talimatlarla, içerikte gizlenmiş kötü niyetli talimatları ayırt edememesi yatıyor. Noma'nın konsept kanıtında, saldırgan bir issue'yu Satış Müdürü'nden gelmiş gibi göstererek, AI asistanının özel bir depodaki README dosyasını okumasını ve bunu herkese açık bir yorum olarak yayınlamasını sağladı. Bu saldırı, asistanın kuruluş genelindeki depolara okuma erişimi olan bir token kullanması nedeniyle başarılı oldu. GitHub, bu tür saldırılara karşı sandbox, girdi temizleme ve tehdit algılama gibi önlemler alsa da, Noma araştırmacıları sadece 'Additionally' kelimesini ekleyerek bu korumaları aşmayı başardı.

Bu güvenlik açığı, daha önceki prompt enjeksiyonu örneklerinden farklı olarak, asistanın ne söylediğinden çok ne yaptığına odaklanıyor. Araştırmacı Sasi Levi'ye göre, asistan bir sohbet penceresi değil, kuruluşun CI/CD altyapısına yakın konumlanmış ve saldırganın göremediği depolara erişimi olan bir aktör. Bu durum, geliştirici Simon Willison'un 'öldürücü üçlü' olarak adlandırdığı yapıyı oluşturuyor: özel verilere erişim, güvenilmeyen dış içerik okuma ve veri çıkış kanalı. Bu üçünün birleşimi, sızıntı yolunu kaçınılmaz kılıyor. Benzer saldırılar daha önce Anthropic'in Claude Code ve GitHub Copilot'unda da görülmüştü.

Teknik Analiz

Kuruluşların bu tehdide karşı alabileceği önlemler arasında, asistan token'ını yalnızca ilgili depo ile sınırlandırmak, yazma işlemlerini yalnızca güvenli çıktılara izin verecek şekilde yapılandırmak, hangi yazarların içeriğine güvenileceğini belirlemek ve asistan çıktılarını insan onayına tabi tutmak yer alıyor. GitHub'ın tehdit algılama adımı, Noma'nın gösterdiği gibi tek kelimelik bir değişiklikle aşılabildiği için, bu önlemler tek başına yeterli değil. Sonuç olarak, AI asistanlarına geniş yetkiler vermek yerine, en az ayrıcalık prensibiyle hareket etmek ve güvenlik kontrollerini katmanlı bir şekilde uygulamak kritik önem taşıyor.

Paylaş: