Noma实验室揭秘GitLost漏洞GitHub自主工作流如何泄露私有仓库数据美国东部时间5月27日上午11点可立即注册参加网络研讨会Noma Security提供了丰富的平台、解决方案、资源和公司信息相关内容平台Noma平台AI安全态势管理解决方案保护企业AI环境自主访问控制基于策略的审批、运行时强制执行和持续监控红队测试通过进攻性测试加强AI安全运行时保护为AI和数据工作负载提供实时保护解决方案AI代理安全通过自动化工作流简化事件管理AI应用程序安全符合你工作流的持续AI安全保障AI治理与合规实时监控和内置合规控制MCP服务器安全跨所有代理的实时威胁检测资源博客Noma实验室洞察报告网络研讨会公司信息关于我们招聘信息联系我们还可预约演示。Noma实验室发布了关于GitLost我们如何诱使GitHub的AI代理泄露私有仓库的研究。Noma实验室在GitHub新推出的自主工作流Agentic Workflows中发现严重提示注入漏洞命名为GitLost。未经身份验证的攻击者可在与私有仓库同属一个组织的公共仓库中发布精心设计的GitHub问题悄悄从私有仓库中提取数据。简介GitHub推出的GitHub自主工作流GitHub Agentic Workflows结合了GitHub Actions与由Claude或GitHub Copilot支持的AI代理。团队能用纯Markdown编写GitHub工作流GitHub代理会自行读取问题、调用工具并作出响应。作为有安全开发背景的漏洞研究人员会思考当GitHub代理读取不应信任的内容时会怎样答案是会出现典型的间接提示注入攻击攻击者将恶意指令隐藏在AI代理读取的内容中使代理遵循隐藏指令而非操作者原本意图。什么是GitHub自主工作流GitHub自主工作流让团队用自然语言自动化与代码仓库的交互。工作流存储在Markdown.md文件中会被编译成YAML和扩展名为.yml的Actions文件并在有可配置权限的AI代理帮助下运行。GitHub代理能读取问题、调用工具并访问组织内其他仓库。GitLost漏洞概述GitLost漏洞的根本原因是提示注入在自主AI系统中较常见。多数自主提示注入攻击里代理会将错误内容视为可信指令来源而被误导或滥用当系统未在系统级指令和不可信用户数据间保持严格信任边界时就会出现这种情况。在该案例中恶意行为者可创建GitHub问题在问题正文中用英语隐藏命令GitHub代理会遵循这些命令。Noma实验室发现的易受攻击的GitHub自主工作流配置如下在GitHub中当问题被分配时触发工作流。读取问题的标题和正文。使用添加评论工具回复问题。对组织内的其他仓库包括公共和私有仓库具有读取权限。攻击者利用此漏洞无需编码技能、访问权限或凭证只需在使用GitHub自主工作流设置的组织的公共仓库中创建问题并等待。攻击流程Noma实验室的漏洞研究人员实施的攻击流程如下首先精心设计一个看似无害的GitHub问题内容是销售副总裁在与客户会面后提出的合理请求。当问题被分配时触发工作流操作测试证实其他GitHub工作流操作情况也如此。然后GitHub自动化系统分配问题后由事件触发的工作流使代理从poc公共和testlocal私有仓库中获取README.md的内容。最后GitHub代理将这些内容作为公共评论发布在公共仓库的问题上任何人都可访问和查看。“额外”的利用手段GitHub设置了防护机制防止数据泄露但未达预期效果。反复测试发现添加关键字“此外”会引发模型意外行为使其重新组织输出内容而非拒绝执行通过欺骗模型可让GitHub防护机制失效无法阻止数据泄露。漏洞证明Noma实验室公开了确认的研究结果包括工作流重现和实际证据工作流运行记录https://github.com/sasinomalabs/poc/actions/runs/23909666039问题记录https://github.com/sasinomalabs/poc/issues/153泄露的数据包括以下仓库的README.md内容sasinomalabs/poc公共仓库sasinomalabs/remote-ping公共仓库未确认是否有READMEsasinomalabs/testlocal私有仓库为何此漏洞至关重要GitLost展示了组织使用自主AI系统面临的基本安全挑战。代理的上下文窗口是攻击面其读取的任何内容若被视为指令输入都可能被武器化。传统安全模型假设信任边界由代码强制执行而自主系统中信任边界部分由模型行为强制执行模型本质上遵循指令。对于自主AI提示注入攻击如同SQL注入对Web应用程序的影响是系统性、全类别范围的漏洞需系统的策略和防御措施。Noma对开发者/AI安全官的建议切勿将用户可控的内容作为AI代理的可信指令输入。将权限范围设置为最小必要权限。具有跨仓库访问权限的代理尤其容易成为高价值攻击目标。限制任何代理公开发布内容特别是在回复问题内容时。在将用户输入传递给模型之前对其进行清理或与指令上下文隔离。负责任的披露Noma实验室已将GitLost漏洞负责任地披露给GitHub此处分享的漏洞细节已获GitHub知晓和许可。若觉得这很有趣可订阅Noma实验室更多关于自主AI漏洞的研究或者查看GrafanaGhost、DockerDash、Context Crush、GeminiJack。正在寻找有效的自主AI安全解决方案可联系我们安排Noma全面解决方案的演示。阅读时长5分钟分类Noma实验室其他相关文章这是个好问题 - Claude标签和代理身份对身份与访问管理IAM有何影响 2026年6月28日Noma与Kong合作保障自主AI时代的安全 2026年6月24日这是个好问题 - 谁编写了你代理遵循的指令 2026年6月24日AI时代需要新的安全标准借助Noma Security可发现、保障和保护企业内AI触及的一切可获取演示。平台平台自主访问控制AI安全态势管理解决方案运行时保护红队测试解决方案AI代理安全AI应用程序安全AI治理与合规MCP服务器安全公司信息关于我们Noma实验室招聘信息联系我们学习资源新闻室博客洞察报告视频网络研讨会保持更新Linkedin X原Twitter