Noma Security araştırmacıları, GitHub Agentic Workflows’ta kritik bir güvenlik açığı keşfetti. 'GitLost' adı verilen bu teknikte, bir saldırgan herhangi bir kimlik bilgisine veya organizasyon içi erişime ihtiyaç duymadan, sadece bir public repository’ye normal görünümlü bir issue açarak, o organizasyonun özel depolarındaki verileri sızdırmayı başarabildi. Bu yöntem, yapay zeka ajanlarına verilen yüksek yetkilerin nasıl istismar edilebileceğini gözler önüne seriyor.
GitHub Agentic Workflows, Şubat ayında kullanıma sunulan ve geliştiricilerin otomasyon betikleri yazmak yerine AI ajanlarına düz İngilizce talimatlar vermesini sağlayan bir özellik. Bu ajanlar, GitHub Copilot, Anthropic Claude, Google Gemini veya OpenAI Codex gibi modellerle çalışıyor ve varsayılan olarak salt okunur. Ancak bir organizasyon, ajanına tüm depolarına (özel olanlar dahil) erişim izni verdiğinde, açık zafiyet oluşuyor. GitLost, tam da bu geniş yetkiyi hedef alıyor.
Saldırı, bilinen bir güvenlik zafiyeti olan 'dolaylı prompt enjeksiyonu'na dayanıyor. AI ajanı, sahibinin talimatları ile okuduğu içerikte gizlenmiş talimatları ayırt edemiyor. Noma’nın proof-of-concept’inde, kötü niyetli issue, bir Satış Müdürü’nden gelen rutin bir talep gibi görünüyordu. Ajan, issue’yu okuyup yorum yapmak üzere tasarlanmıştı ve özel bir deponun README dosyasını çekerek public bir yoruma yapıştırdı. GitHub’ın koruma önlemlerini aşmak içinse sadece 'Additionally' kelimesini eklemek yetti.
Bu açık, yapısal bir sorun olarak değerlendiriliyor. Araştırmacılar, ajanın yalnızca tek bir depoya erişimi olacak şekilde token’ın kapsamının daraltılmasını, public yüzlerin yazma yetkilerinin sınırlandırılmasını ve insan onayı eklenmesini öneriyor. Ayrıca, GitHub’ın tehdit algılama adımının bir güvenlik önlemi olduğu ancak tek başına yeterli olmadığı vurgulanıyor. Bu tür saldırılar, AI ajanlarının güvenliği konusunda daha kapsamlı önlemler alınması gerektiğini ortaya koyuyor.