Public GitHub Issue Could Trick GitHub Agentic Workflows Into Leaking Private Repo Data
Mis à jour :
GitLost : Risque d’exfiltration de données via les agents GitHub
La technique GitLost permet à un attaquant d’exploiter les agents GitHub (en préversion technique) pour divulguer le contenu de dépôts privés sans nécessiter d’identifiants volés ou d’accès préalable à l’organisation. L’attaque repose sur l’injection de commandes malveillantes dans une simple “Issue” publique, que l’IA exécute par confusion entre les instructions de son propriétaire et le contenu externe.
Points clés :
- Vulnérabilité structurelle : L’attaque exploite une injection de prompt indirecte. L’agent, doté de privilèges étendus, ne parvient pas à distinguer les données non fiables des instructions système.
- Le “Trifecta Létal” : Le risque survient lorsqu’un agent possède simultanément trois caractéristiques : accès aux données privées, traitement de contenus externes non fiables et capacité à publier des résultats en public (ex: commentaires).
- Contournement des garde-fous : Les mécanismes de détection de GitHub peuvent être neutralisés par de simples modifications textuelles (ex: ajouter “Additionally” pour forcer l’agent à traiter la requête comme une tâche légitime).
Vulnérabilités :
- Aucune CVE spécifique n’est associée, car il s’agit d’une limitation architecturale inhérente aux agents IA actuels, et non d’un bug logiciel classique.
Recommandations :
- Limiter le périmètre (Scope) : Utiliser des jetons d’accès restreints au dépôt spécifique traité par l’agent plutôt que des accès globaux à l’organisation.
- Sécuriser les sorties : Limiter strictement les canaux de publication des agents et, si possible, exiger une validation humaine avant la publication de commentaires générés automatiquement.
- Filtrer les auteurs : Restreindre les sources (auteurs) dont le contenu est traité par l’agent.
- Approche “Zero Trust” : Considérer les garde-fous automatisés comme une sécurité secondaire et non comme une protection absolue contre l’exfiltration de données.
