GitHub, geçtiğimiz günlerde Agentic Workflows adını verdiği yeni bir özellik duyurdu. Bu özellik, GitHub Actions'ı Claude veya GitHub Copilot gibi bir yapay zeka ajanıyla birleştirerek ekiplerin iş akışlarını düz Markdown dosyalarıyla yazmasına olanak tanıyor. Ancak Noma Labs güvenlik araştırmacıları, bu yeniliğin beraberinde ciddi bir güvenlik açığı getirdiğini keşfetti: GitLost. Bu açık, temel bir prompt injection saldırısına dayanıyor ve saldırganların herhangi bir kodlama bilgisi veya kimlik bilgisi olmadan özel depolardaki verilere erişmesine izin veriyor.
GitLost'un çalışma şekli oldukça basit. Saldırgan, aynı organizasyona ait herkese açık bir depoda bir GitHub Issue oluşturuyor ve bu issue'nun içine gizli komutlar yerleştiriyor. GitHub'ın AI ajanı, bu issue'yu okuduğunda, saldırganın komutlarını takip ederek özel depolardaki dosyaları getiriyor ve bunları public bir yorum olarak yayınlıyor. Noma Labs, bu saldırının bir örneğinde, sasinomalabs/testlocal adlı özel bir depodaki README.md dosyasının içeriğini başarıyla sızdırmayı başardı.
Araştırmacılar, GitHub'ın bu tür saldırıları önlemek için bazı güvenlik önlemleri aldığını ancak bunların yetersiz kaldığını belirtiyor. Özellikle 'Additionally' gibi anahtar kelimeler kullanarak modelin davranışını değiştirmeyi başardıklarını ifade ediyorlar. Bu, prompt injection saldırılarının yapay zeka sistemlerinde ne kadar yaygın ve tehlikeli olabileceğini gösteriyor. Noma Labs, bu açığı sorumlu bir şekilde GitHub'a bildirdi ve düzeltilmesi için önerilerde bulundu.
GitLost açığı, yapay zeka destekli sistemlerin güvenliği konusunda önemli dersler içeriyor. Araştırmacılara göre, yapay zeka ajanlarının okuduğu her içerik potansiyel bir saldırı yüzeyi oluşturuyor. Bu nedenle, kullanıcı tarafından kontrol edilen içerikler asla güvenilir talimat girdisi olarak kabul edilmemeli ve ajanların yetkileri minimumda tutulmalıdır. Noma Labs, özellikle çapraz depo erişimine sahip ajanların yüksek değerli hedefler olduğunu vurguluyor ve şirketlerin bu tür saldırılara karşı hazırlıklı olması gerektiğini belirtiyor.