GitHubの公開IssueだけでAIに非公開リポジトリの情報を吐き出させる脆弱性「GitLost」が報告される

GitHubの公開リポジトリに投稿されたIssueへ悪意ある指示を紛れ込ませることで、AIエージェントに非公開リポジトリの内容を公開コメントとして投稿させるプロンプトインジェクションの脆弱(ぜいじゃく)性「GitLost」をセキュリティ企業のNoma Labsが報告しました。攻撃者は認証情報やリポジトリへのアクセス権を持っていなくても、組織の公開リポジトリにIssueを作成するだけで攻撃を成立させられる可能性があったとされています。
GitLost: How We Tricked GitHub’s AI Agent into Leaking Private Repos - Noma Security
https://noma.security/blog/gitlost-how-we-tricked-githubs-ai-agent-into-leaking-private-repos/
GitLostはIssueとGitHub Agentic Workflowsの組み合わせで発生する脆弱性とのこと。Issueは新機能の要望やバグ報告を行えるGitHubの機能で、公開リポジトリでは外部ユーザーからIssueを受け付ける運用も多くなっています。GitHub Agentic Workflowsはリポジトリ周辺の作業をAIエージェントに任せるための仕組みで、Markdownで自然言語のワークフローを記述してIssueの分類などの作業をGitHub Actions上のAIエージェントに処理させることができます。
AIエージェントは便利な一方で、「読んだ文章を指示として受け取ってしまう」という問題があります。人間なら「ユーザーが書いた依頼文」と「システムが守るべきルール」を区別できますが、AIエージェントがIssue本文やコメントなどの内容を同じ文脈で処理すると攻撃者が書いた文章が命令として扱われる危険があります。こうした攻撃は「間接プロンプトインジェクション」と呼ばれ、AIエージェントが外部の文章を読む設計では特に問題になりやすい攻撃です。
Noma Labsが確認した脆弱なGitHub Agentic Workflowsの設定では、Issueの割り当てイベントでワークフローが起動し、Issueのタイトルと本文を読み、返信コメントを投稿するように設定されていました。

さらにワークフローには、同じ組織が管理する公開リポジトリと非公開リポジトリの両方を読む権限がありました。攻撃者は組織の公開リポジトリに一見自然なIssueを投稿し、Issue本文の中にAIエージェント向けの命令を忍ばせるだけで、AIエージェントに非公開リポジトリのREADME.mdを取得させ、公開Issueのコメント欄に投稿させられたとのことです。

GitHub Agentic Workflowsには、読み取り専用権限、サンドボックス実行、安全な出力の検証、脅威検出などの防御策が用意されています。しかしNoma Labsによると、研究チームが表現を変えながら試した結果「Additionally」というキーワードを追加することでAIエージェントの挙動が変わり、防御策が意図通りに機能しなかったとのこと。

Noma Labsは「エージェントAIにおける間接プロンプトインジェクションはウェブアプリケーションにおけるSQLインジェクションに相当する、同種のシステム全体に共通する問題だ」と述べています。
Noma Labsは対策として「ユーザーが制御できる文章を信頼できる命令として扱わないこと」「AIエージェントの権限を必要最小限にすること」「AIエージェントが公開の場へ投稿できる内容を制限すること」「AIエージェントへ渡す前にユーザー入力を分離または無害化すること」を推奨しています。特に複数リポジトリを横断して読めるエージェントは価値の高い攻撃対象になるため、権限設計の見直しが重要とのことです。
Noma LabsはGitLostをGitHubへ責任ある形で報告し、詳細はGitHubが把握した上で公開していると説明しています。
・関連記事
OpenAIがプロンプトインジェクション攻撃からユーザーの機密情報を保護するためのロックダウンモードを発表 - GIGAZINE
AIがスプレッドシートに勝手に数式を挿入して機密データを外部送信してしまう脆弱性が発見される - GIGAZINE
一見無害な画像の中に文字列を埋め込んでAIを攻撃する恐るべき手法が発見される - GIGAZINE
YouTube StudioのAI機能で非公開動画の情報が漏れる可能性が指摘される - GIGAZINE
Anthropicの「Cowork」は間接プロンプトインジェクションによるファイル流出攻撃に対して脆弱 - GIGAZINE
・関連コンテンツ
in AI, ネットサービス, セキュリティ, Posted by log1d_ts
You can read the machine translated English article A vulnerability called 'GitLost' has bee….







