时间:2026年7月6日
地点:以色列/全球
人物:Noma Labs安全研究团队、GitHub(微软旗下代码托管平台)
事件详情:Noma Labs于7月6日披露了一个名为GitLost的严重安全漏洞,攻击者可利用提示词注入攻击,通过GitHub的Agentic Workflows功能窃取私有仓库中的敏感数据。GitHub近期推出的Agentic Workflows将GitHub Actions与由Claude或GitHub Copilot驱动的AI代理相结合,允许团队使用纯Markdown编写工作流。Noma Labs的研究人员发现,未经身份验证的攻击者只需在同一组织的公共仓库中发布一个精心构造的GitHub Issue,即可诱导AI代理读取并泄露该组织私有仓库中的代码。攻击者不需要任何身份认证或预先权限,仅利用AI代理对Issue内容的高度信任即可执行恶意指令。该漏洞被命名为GitLost,在Hacker News上引发了广泛关注。
背景:GitHub是全球最大的代码托管平台,拥有超过1亿开发者和超过4亿个仓库。近年来,GitHub大力推广AI功能,包括GitHub Copilot代码补全和Agentic Workflows工作流自动化。Agentic Workflows允许AI代理在收到Issue、PR等事件后自动执行代码审查、文档生成、测试等任务。然而,这种高度自动化的AI代理天然存在被提示词注入攻击的风险——攻击者可以将隐藏指令嵌入看似普通的Issue或评论中,诱导AI代理执行非预期操作。这是AI Agent安全领域日益突出的核心挑战之一。Noma Labs的研究表明,GitHub的这一漏洞源于AI代理在读取Issue内容时未对用户输入进行充分的隔离和验证。
影响:
- GitLost漏洞影响范围极其广泛——任何启用了GitHub Agentic Workflows的组织都可能受到攻击,攻击者无需认证即可通过公共仓库窃取私有代码,这对企业知识产权保护构成严重威胁。
- 该事件凸显了AI Agent安全的全新挑战。与传统的Web应用安全不同,AI Agent自主执行操作的能力放大了提示词注入的危害,传统的输入验证和权限控制机制已不足以应对此类攻击。
- GitHub需要重新审视其AI Agent的安全架构设计。Noma Labs已向GitHub报告该漏洞,业界预计GitHub将加速推进AI Agent权限隔离、输出验证以及用户输入的上下文隔离等安全加固措施。
总结:GitLost漏洞是AI Agent安全领域的一个标志性案例,它揭示了AI自主代理在缺乏严格权限控制和输入验证时面临的根本风险。随着越来越多的科技公司将AI代理嵌入核心开发工作流,提示词注入攻击将成为2026年最严重的安全威胁之一。开发者和平台方需要在AI的自主性与安全性之间找到平衡,建立包括输入净化、权限最小化和行为审计在内的多层次防御体系。企业和开发者应密切关注GitHub的安全更新,并及时评估自身Agentic Workflows的安全性。
参考来源:
- https://noma.security/blog/gitlost-how-we-tricked-githubs-ai-agent-into-leaking-private-repos/
- https://news.ycombinator.com/
- https://www.ithome.com/
- https://arstechnica.com/security/2026/07/hackers-can-use-9-of-the-most-popular-ai-tools-to-assemble-massive-botnets
- https://so.html5.qq.com/page/real/search_news?docid=70000021_1096a2134d182552









