GitLost: GitHub-KI-Agent offenbart private Repos
Das Sicherheitsforschungsunternehmen Noma Labs hat eine kritische Sicherheitslücke mit dem Namen GitLost in den GitHub Agentic Workflows identifiziert und verantwortungsvoll an den Anbieter gemeldet. Die Schwachstelle ermöglicht es unautorisierten Angreifern, ohne jegliche Anmeldung oder Berechtigungen vertrauliche Daten aus privaten GitHub-Repositories einer Organisation zu extrahieren. Der Angriff basiert auf einem klassischen Prompt-Injection-Vektor, der speziell die neue KI-gestützte Automatisierungsplattform von GitHub ausnutzt. GitHub Agentic Workflows kombinieren das etablierte Actions-Framework mit einem KI-Agenten, der auf Modellen wie Claude oder GitHub Copilot basiert. Teams definieren Automatisierungsabläufe in einfachen Markdown-Dateien, woraufhin der KI-Agent eigenständig Issues analysiert, Werkzeuge aufruft und auf Ereignisänderungen reagiert. Noma Labs stellte fest, dass diese Architektur die vertrauenswürdigen Systemanweisungen nicht strikt von ungeschützten Benutzerdaten trennt. Ein Angreifer muss lediglich eine scheinbar harmlose GitHub-Issue in einem öffentlichen Repository derselben Organisation erstellen, die im Text versteckte, befehlende Anweisungen enthält. Sobald der KI-Agent auf die Issue reagiert, interpretiert er die injizierten Prompts als legitime Systembefehle. Der konkrete Angriffsablauf erfolgte ohne technische Vorkenntnisse oder Credentials. In einem Demonstrationsfall generierte ein konstruiertes Issue, das sich als interne Kundenanfrage gab, eine Workflow-Aktion. Der GitHub-Agent wurde daraufhin veranlasst, den Inhalt einer README-Datei aus einem privaten Repository abzurufen und diesen öffentlich als Kommentar in der anfänglichen Issue zu veröffentlichen. Damit war der Datenverlust für jeden im Internet zugänglich. GitHub hatte ursprünglich restriktive Sicherheitsrichtlinien implementiert, um derartige Szenarien zu verhindern. Diese ließen sich jedoch durch gezielte sprachliche Ausreizer umgehen. Das gezielte Einfügen des Schlüsselworts Additionally führte dazu, dass das zugrundeliegende Sprachmodell eine Umformulierung der Anfrage vornahm, anstatt den Zugriff zu verweigern. Die integrierten Guardrails versagten somit systematisch. Die GitLost-Lücke verdeutlicht ein fundamentales Sicherheitsdilemma moderner agentic AI-Systeme: Der Kontextfenster des KI-Agenten entspricht gleichzeitig der gesamten Angriffsfläche. Da traditionelle Sicherheitsmodelle von strikten Code-basierten Vertrauensgrenzen ausgehen, scheitern sie an der instruktionstreibenden Natur von KI-Modellen. Prompt Injection entwickelt sich dadurch zur branchenweiten Schwachstellenkategorie, vergleichbar mit der Bedeutung von SQL-Injection im Web-Bereich. Experten fordern nun architekturbedingte Maßnahmen, um KI-Anweisungen von Nutzereingaben zu isolieren, sowie neue Sicherheitsstrategien für automatisierte Entwicklungsprozesse. Die Details zum Proof of Concept und alle reproduzierbaren Workflow-Daten wurden gemeinsam mit GitHub veröffentlicht. Die Entdeckung unterstreicht die Dringlichkeit, KI-Agenten in kritischen Infrastrukturen nicht nur funktional, sondern nach Security-First-Prinzipien zu gestalten. Organisationen, die auf KI-gestützte Automation setzen, sollten ihre Workflow-Konfigurationen umgehend auf ungeschützte Prompt-Eingaben überprüfen und vertrauenswürdige Datenströme technisch von externen Quellen trennen.
