באג GitLost חושף מאגרים פרטיים ב-GitHub

    8 ביולי 2026, 14:42חדשות2 מקורות

    חוקרים מ-Noma Security גילו פרצת אבטחה בשם GitLost ב-GitHub Agentic Workflows. הפרצה מאפשרת לתוקף להערים על AI agent לחשוף תוכן ממאגרים פרטיים על ידי פרסום issue במאגר ציבורי. זה קורה בגלל prompt injection עקיף, וההגנה הקיימת עוקפה בקלות עם מילה אחת. המקרה מדגיש את הסיכונים המובנים במערכות AI אוטונומיות בפיתוח.

    באג GitLost חושף מאגרים פרטיים ב-GitHub

    תארו לכם שמאגר קוד פרטי דולף לאינטרנט בגלל issue אחד שפורסם במאגר ציבורי. זה בדיוק מה שחוקרים ב-Noma Security מצאו כשגילו את פרצת GitLost ב-GitHub Agentic Workflows.

    מה זו בכלל Agentic Workflows?

    GitHub השיקו לאחרונה פיצ'ר שמאפשר להגדיר workflows ב-Markdown, שמקומפלים ל-GitHub Actions. הבונוס: מאחורי הקלעים רץ AI agent שמבוסס על Claude של Anthropic או GitHub Copilot. הסוכן קורא issues חדשות, מפעיל כלים ומבצע משימות – בלי שאדם מאשר כל צעד.

    איך עובד תקיפת Prompt Injection?

    הפרצה, שזכתה לשם GitLost, מבוססת על prompt injection עקיף. התוקף לא צריך חשבון או כישורי קידוד: הוא רק פותח issue במאגר ציבורי של ארגון שמריץ workflow פגיע. בתוך ה-issue, הוא מסתיר הוראות זדוניות שמתחפשות לבקשה תמימה – למשל, פנייה ממנהל מכירות.

    ברגע ש-GitHub Automation מקצה את ה-issue, הסוכן קורא את התוכן ומבצע את ההוראות. ב-proof of concept של Noma, הסוכן שלף תוכן מ-README של מאגר פרטי ופרסם אותו כתגובה ציבורית – כך שכל אחד ברשת יכול היה לראות אותו.

    מה עם ההגנות של GitHub?

    ל-GitHub היו מנגנוני הגנה שאמורים למנוע התנהגות כזו, אבל החוקרים עקפו אותם בקלות. הם הוסיפו את המילה 'additionally' להוראות, מה שגרם למודל AI לפרש מחדש את הפלט שלו במקום לסרב לבקשה. טכניקה דומה שימשה את Noma במחקר קודם בשם 'GrafanaGhost'.

    למה זה חשוב עכשיו?

    המקרה חושף בעיה מבנית במערכות agentic: חלון ההקשר של הסוכן הוא גם שטח ההתקפה שלו. כל issue, pull request או קובץ שהסוכן קורא יכול להיות מוסב לכלי נשק אם המודל מתייחס אליו כהוראות. Mariano Fuentes, מייסד שותף ב-Comp AI, אמר שהבעיה גדלה כי 'אם לא מגבילים כראוי את היכולות של ה-AI, הוא יכול לבצע הוראות ממפלגה זדונית מבלי שתוודעו לכך'.

    Noma משווים את ה-prompt injection להזרקת SQL באתרי אינטרנט – פרצת אבטחה שיטתית שדורשת הגנות שיטתיות.

    מה אפשר לעשות?

    החוקרים ממליצים: לעולם אל תתייחסו לתוכן שנשלט על ידי משתמשים כקלט מהימן להנחיות, הגבילו את ההרשאות של הסוכן למינימום הנחוץ, הגבילו מה הוא יכול לפרסם בפומבי, והפרידו קלט משתמש מהקשר ההוראות לפני שהוא מגיע למודל.

    Fuentes מוסיף שהמפתחים צריכים 'לבדוק בקפידה מה ה-LLM יכול לעשות עם מערכות פנימיות, מה ההרשאות שלו, ואם הוא דורש אימות אנושי לפעולות רגישות'.

    מה הלאה?

    GitLost נחשף באחריות ל-GitHub ופורסם ברשותם. אבל הסיפור הוא תמרור אזהרה לתעשיית ה-AI: ככל שיותר חברות משלבות agents בפיתוח תוכנה, פרצות כאלה עלולות להפוך לשגרה. אם אתם מפתחים workflows אוטומטיים עם AI, כדאי לחשוב פעמיים על מה שהסוכן שלכם קורא – ועל מי שעשוי לשלוח לו הנחיות.