时间:2026年7月6日,Noma Labs安全团队公开发布漏洞研究报告;7月8日该漏洞在Hacker News等平台引发广泛关注。
地点:美国/以色列——Noma Labs安全研究团队位于以色列,GitHub公司总部位于美国旧金山。
人物:Noma Labs安全研究员Sasi Levi(漏洞发现者),GitHub(微软旗下代码托管平台,新推出Agentic Workflows功能),以及所有使用GitHub Agentic Workflows的企业和组织。
事件详情:Noma Labs安全研究团队发现了一个严重的提示词注入(Prompt Injection)漏洞,并将其命名为GitLost。该漏洞存在于GitHub最新推出的Agentic Workflows功能中。Agentic Workflows将GitHub Actions自动化系统与Claude或GitHub Copilot驱动的AI代理相结合,允许团队用纯Markdown编写工作流,AI代理自动读取Issue、调用工具并响应。攻击者无需任何编码能力或凭证,只需在一个组织的公开仓库中创建一个精心构造的GitHub Issue,在Issue正文中隐藏指令,就能诱导AI代理访问同一组织的私有仓库,并将敏感数据(如README.md文件内容)以公开评论的形式发布出来。Noma Labs还发现,通过添加"Additionally"关键词可以绕过GitHub的安全防护措施,使得原本用于阻止数据泄露的防护机制完全失效。
背景:GitHub于近期推出Agentic Workflows功能,标志着从传统的代码托管平台向AI原生开发平台的转型。该功能允许工作流以Markdown文件形式存在,由AI代理编译为YAML后执行。随着AI Agent在CI/CD流水线中的深度集成,提示词注入已成为OWASP排名第一的LLM应用安全威胁。此前已有研究人员发现Claude Code、Gemini CLI等AI编程工具存在类似漏洞,GitLost漏洞再次证明:AI Agent在自动化工作流中读取外部不受信输入时,缺乏有效的信任边界隔离是系统性安全缺陷。
影响:
- 对GitHub平台的信任造成冲击:GitLost漏洞影响所有使用GitHub Agentic Workflows的企业和组织,这些组织在CI/CD流水线中配置AI代理处理Issue等外部输入时,私有代码库面临数据泄露风险,攻击者无需任何权限即可窃取API密钥、数据库连接字符串等敏感信息。
- AI Agent安全标准亟待建立:GitLost漏洞再次验证了AI Agent面临的根本性安全挑战——大语言模型无法有效区分系统指令(控制平面)与用户输入(数据平面),现有的输入过滤和防护措施在面对精心构造的提示词注入时几乎无效。
- 企业AI采用意愿可能受挫:安全漏洞的频发可能降低企业在关键生产环境中部署AI Agent的信心,特别是在代码审查、CI/CD自动化和数据处理等高权限场景中。企业需要引入AI Agent安全监控产品(如Noma Platform的Runtime Protection和Agentic Access Control)来缓解风险。
总结:GitLost漏洞是AI Agent安全领域标志性事件之一,它揭示了当AI代理被赋予读取和操作敏感数据的权限时,缺乏对输入来源的信任边界隔离带来了严重的安全隐患。Noma Labs负责任地向GitHub披露了该漏洞。对于使用GitHub Agentic Workflows的开发者,建议立即审查工作流配置,限制AI代理的仓库访问权限,并对Agent读取的外部输入实施严格的净化策略。随着AI Agent在软件开发中的角色日益核心,建立Agentic AI的安全标准已刻不容缓。
参考来源:
- https://noma.security/blog/gitlost-how-we-tricked-githubs-ai-agent-into-leaking-private-repos/
- https://news.ycombinator.com/item?id=48827858
- https://github.com/sasinomalabs/poc/actions/runs/23909666039
- https://blog.zksecurity.xyz/posts/circl-bugs
- https://arstechnica.com/security/2026/07/hackers-can-use-9-of-the-most-popular-ai-tools-to-assemble-massive-botnets
- https://blog.csdn.net/weixin_42376192/article/details/160391435









