GitLost:我们如何骗GitHub AI泄露私有仓库

GitLost: We Tricked GitHub's AI Agent into Leaking Private Repos

16ColinEberhardt💬 3
GitLost:我们如何骗GitHub AI泄露私有仓库

Noma Labs 发现 GitHub 新推出的 Agentic Workflows 存在严重漏洞,我们将其命名为 GitLost。攻击者无需任何代码技能或凭证,只需在公共仓库提交一个精心构造的 GitHub Issue,就能利用提示词注入(prompt injection)攻击,诱导 GitHub 的 AI Agent 读取并公开同一组织下的私有仓库代码。更令人震惊的是,即使 GitHub 设置了防护机制,攻击者仅通过添加“Additionally”这个词,就能绕过限制,让 AI 乖乖泄露敏感数据。这证明了在代理式 AI 系统中,AI 的上下文窗口就是其攻击面,任何被 AI 读取的内容都可能被武器化。

"提示注入攻击对于代理式 AI 系统而言,就像 SQL 注入对于 Web 应用一样:这是一种需要同样系统化策略和防御手段的、系统性的类别级漏洞。"