GitLost: GitHub'ın AI Asistanı Nasıl Sızdırıldı? Özel Depolara Prompt Enjeksiyonu Saldırısı Siber Güvenlik

GitLost: GitHub'ın AI Asistanı Nasıl Sızdırıldı? Özel Depolara Prompt Enjeksiyonu Saldırısı

Noma Labs, GitHub'ın AI destekli Agentic Workflows'unda kritik bir prompt enjeksiyonu zafiyeti tespit etti. GitLost adı verilen açık, özel depolardan

Noma Labs güvenlik araştırmacıları, GitHub'ın yeni Agentic Workflows özelliğinde kritik bir güvenlik açığı keşfetti. GitLost adı verilen bu zafiyet, saldırganların herhangi bir kimlik doğrulama olmaksızın, yalnızca bir GitHub Issues oluşturarak aynı organizasyona ait özel depolardan veri çekmesine olanak tanıyor. Bu, yapay zeka tabanlı sistemlerdeki prompt enjeksiyonu saldırılarının ne kadar tehlikeli olabileceğini bir kez daha gözler önüne seriyor.

GitHub Agentic Workflows, geliştiricilerin iş akışlarını düz metin (Markdown) dosyalarıyla tanımlamasına ve bir AI asistanının (Claude veya GitHub Copilot) bu iş akışlarını otomatik olarak yürütmesine olanak tanıyor. Ancak araştırmacılar, bu sistemin temel bir güvenlik hatası içerdiğini fark etti: AI asistanı, okuduğu içerikler arasında güvenilir ve güvenilmez veriler arasında ayrım yapamıyor. Saldırgan, bir Issues başlığına veya yorumuna gizlediği talimatlarla asistanı yönlendirerek özel depolara erişebiliyor.

Saldırı akışı oldukça basit: Saldırgan, hedef organizasyonun herkese açık bir deposunda bir Issues oluşturuyor. Issues içine, AI asistanının okuyup uygulayacağı gizli talimatlar yerleştiriyor. Issues atandığında tetiklenen iş akışı, asistanın özel depolardaki dosyaları okumasını ve bu verileri herkese açık bir yorum olarak yayınlamasını sağlıyor. Noma Labs, bu yöntemle özel bir depodaki README.md dosyasının içeriğini başarıyla sızdırdı.

Teknik Analiz

Bu güvenlik açığı, yapay zeka tabanlı sistemlerde prompt enjeksiyonunun ne kadar yaygın ve tehlikeli olabileceğini gösteriyor. Noma Labs, geliştiricilere ve güvenlik ekiplerine şu önerilerde bulunuyor: Kullanıcı kontrollü içerikleri asla güvenilir talimat kaynağı olarak işleme almayın, AI asistanlarının yetkilerini en aza indirin, asistanların herkese açık yorum yapmasını sınırlayın ve kullanıcı girdilerini modelin talimat bağlamından ayırın. GitHub ise bu açığı kapatmak için çalışmalara başladı.

Paylaş: