ШІ-агент у GitHub може стати загрозою для приватності
Штучний інтелект вже давно став повноцінним помічником, який має доступ до автоматизацій та приватних даних компанії. І водночас із зручністю це приносить ряд ризиків.
Дослідники з компанії Noma Security виявили критичну вразливість у системі GitHub Agentic Workflows, яку вони назвали GitLost. Вона дозволяє зловмисникам викрадати дані з приватних репозиторіїв організації без жодного злому, викрадення паролів чи використання складних скриптів. Для цього хакеру достатньо лише створити публічний Issue у вашому проєкті.
Розповідаємо, як працює ця атака, чому традиційний захист тут безсилий та як захистити свої дані.
У чому суть атаки
Більшість із вас уже чула про Prompt Injection — коли користувачі намагаються зламати текстову логіку чат-бота, щоб він видав заборонену відповідь. З GitLost ситуація значно серйозніша. Вона базується на концепції Indirect Prompt Injection (непрямої ін’єкції промпта).
Різниця в тому, що AI-агент — це не віконце чату. Це повноцінний учасник вашої CI/CD-інфраструктури, який має доступи до багатьох репозиторіїв компанії.
Як працює схема атаки:
- Зловмисник або навіть звичайний користувач без спеціальних прав відкриває Goal/Issue у вашому публічному репозиторії.
- У текст завдання він вбудовує інструкцію звичайною англійською мовою. Наприклад, під виглядом термінового прохання від менеджменту.
- AI-агент (на базі GitHub Copilot або Claude), аналізуючи цей Issue, сприймає текст як валідну команду.
- Агент використовує свої розширені права, зчитує дані з ваших приватних репозиторіїв і публікує викрадену інформацію в коментарях до публічного Issue.
У результаті ваші секретні дані або вихідний код стають доступними абсолютно всім.
Проблематика встановлених обмежень
Розробники GitHub намагалися впровадити обмеження, щоб агент не виконував підозрілих дій. Проте дослідники з’ясували, що ці бар’єри легко обійти.
Під час тестування виявилося, що додавання лише одного зв’язуючого слова — наприклад, «additionally» — змушує ШІ ігнорувати правила безпеки та виконувати шкідливу команду.
Експерти з безпеки називають цю ситуацію смертельною тріадою, бо:
- AI має права на читання конфіденційних даних;
- AI зчитує та обробляє неперевірений контент із публічних джерел;
- AI має можливість публікувати результати у відкритому доступі.
Як мінімізувати ризики вже зараз
Якщо ваша команда використовує або планує впроваджувати AI-агентів для автоматизації рутини в GitHub, фахівці з безпеки рекомендують дотримуватися кількох правил:
- Принцип найменших привілеїв: негайно обмежте крос-репозиторні права для AI-агентів. ШІ не повинен мати доступу до приватних репозиторіїв, якщо працює з публічними завданнями.
- Нульова довіра до вхідних даних (Zero Trust): розглядайте будь-який контент, створений користувачами, як потенційно ворожі інструкції, а не як надійні вказівки.
- Багаторівневий захист: використовуйте інструменти моніторингу дій ботів у реальному часі, щоб вчасно виявляти аномальну активність (наприклад, коли бот раптово звертається до приватного репозиторію за запитом із зовнішнього джерела).
Післяслово
Штучний інтелект значно прискорює розробку, але пам’ятайте: автоматизація без суворого розмежування доступів завжди створює прогалини в безпеці.
Що думаєте на рахунок цих подій? Діліться в коментарях!