HyperAIHyperAI

Command Palette

Search for a command to run...

GitHub AIエージェントが私有リポジトリを漏洩

近日、セキュリティ調査機関Noma Labsは、GitHubが提供するAI駆動型自動化機能Agentic Workflowsに深刻なプロンプトインジェクション脆弱性GitLostを発見し、責任ある開示を実施した。この脆弱性は認証不要で、攻撃者が公開リポジトリに特定のIssueを投稿するだけで、同一組織内のプライベートリポジトリから機密データを外部へ漏洩させることが可能となる。 GitHub Agentic Workflowsは、自然言語による指示をAIエージェントが解釈し、GitHub Actionsと連携させてタスクを自動化するシステムである。Noma Labsの検証によれば、GitLostの根本原因はエージェントが外部入力Issue本文を誤って信頼し、攻撃者の隠された指示を実行するプロンプトインジェクションにある。攻撃者は特別な開発スキルや権限を必要とせず、公開リポジトリに巧妙に仕掛けられたワークフロートリガーを仕掛けるだけで攻撃が成立する。ワークフローが起動すると、AIエージェントは組織内のプライベートリポジトリからファイル内容を読み取り、公開Issue上にコメントとして投稿する。これにより、本来非公開であるべき開発データがインターネット上に直接公開される仕組みとなっている。 防御機構を回避する手口も確認されている。GitHub側が設けたガードレールに対して、特定キーワードを含む文章を注入することでモデルの出力を強制的に再構成させ、拒否反応を回避してデータ漏洩を完了させる実証に成功した。これはエージェントのコンテキストウィンドウ自体が攻撃表面積となり、従来のコードベースの信頼境界管理モデルでは対策が困難なAI時代の新規脅威を顕在化させる。Noma Labsは、この種の問題がWebアプリケーションにおけるSQLインジェクションに匹敵するシステム的リスクであると指摘し、開発者やセキュリティ担当者に対し、エージェントのコンテキスト制御強化と信頼境界の再構築を緊急に求めている。GitHubは同報告を受け付け、修正対応を進めている。本脆弱性の開示は、AIエージェントを組み次世代開発インフラにおけるセキュリティ基準の抜本的見直しを業界に迫る重要な契機となっている。

関連リンク