找回密码
 立即注册
搜索

严重漏洞暴露 GitHub Agentic Workflows 面临提示注入风险

作者:admin | 时间:昨天 14:43 | 阅读:9| 显示全部楼层

马上注册,让你轻松玩转程序园

您需要 登录 才可以下载或查看,没有账号?立即注册

x
Noma Labs 警告称,GitHub Agentic Workflows 中存在一个严重的提示注入漏洞,可能允许未经认证的攻击者泄露私有仓库数据。

GitHub Agentic Workflows 允许用户使用 markdown 文件以自然语言编写工作流,AI 代理会将这些文件作为 GitHub Actions 使用,从而实现与代码仓库交互的自动化。

由于这个名为 GitLost 的安全缺陷,未经认证的攻击者可以将间接提示隐藏在精心构造的 GitHub Issue 中,这些 Issue 发布在同时维护私有仓库的组织的公共仓库上,而 AI 代理会遵循这些指令。

Noma Labs 发现,一个 GitHub Agentic Workflow 被配置为在 issues.assigned 事件上触发,读取 GitHub Issue 的标题和正文,并发布评论作为响应。

该公司表示,该工作流对该组织维护的公共和私有仓库均具有读取权限。

Noma 解释道:"要利用此漏洞,攻击者不需要编码技能、访问权限或凭据。所需要的只是在使用 GitHub Agentic Workflow 设置的组织所属的公共仓库中打开一个 Issue,然后等待。"

该网络安全公司确认,一个包含看似来自销售领导层的合理请求的精心构造的 GitHub Issue,可用于指示代理获取公共和私有仓库中 Readme.md 文件的内容,并将其作为公开评论发布。

虽然 GitHub 设有防护措施来防止此类攻击,但这些保护措施失效了,因为安全研究人员测试了带有变体的技术,最终通过添加关键词"additionally"触发了该行为。

Noma 表示,对于 AI 代理而言,间接提示注入相当于 Web 应用程序中的 SQL 注入,需要系统性的防御策略。

Noma 指出:"GitLost 完美地说明了每个组织在使用 AI 代理系统时面临的根本性安全挑战之一。代理的上下文窗口同时也是其攻击面。代理读取的任何内容——无论是 Issue、pull request、评论还是文件——如果代理将该内容视为指令性输入,都可能被武器化。"

该网络安全公司已负责任地向 GitHub 披露了其发现,并建议组织将所有用户控制的内容视为不可信,将代理权限限制在最低必要范围,限制代理可以公开发布的内容,并在用户输入传递给 AI 代理之前对其进行清理。

%e5%8f%af%e7%94%a8-security-4868172_1280.jpg

您需要登录后才可以回帖 登录 | 立即注册
黑客现已利用关键 Oracle E-Business 漏洞发起攻击
黑客现已利用关键 Oracle E-Business 漏洞发起攻击
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应用程序中的一个关键漏
关键 SimpleHelp 漏洞被利用以部署新型窃密恶意软件
关键 SimpleHelp 漏洞被利用以部署新型窃密恶意软件
黑客正在利用 SimpleHelp 中一个最近披露的关键漏洞(CVE-2026-48558)来部署 Djinn Stealer,这是一种此前
美国查封数百个 FIFA 世界杯非法流媒体域名
美国查封数百个 FIFA 世界杯非法流媒体域名
美国司法部刑事局查封了近 400 个用于非法流媒体播放 FIFA 世界杯比赛的网站域名。这些网站向访问者提供 20
Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客
Microsoft 将 Mastra AI 供应链攻击归因于朝鲜黑客
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜黑客组织 Sapphire Sle
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案错误地标记为恶意软件
日本能源公司丢失存储有 1090 万客户数据的硬盘
日本能源公司丢失存储有 1090 万客户数据的硬盘
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一份官方公告中,该公司
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属机构运营的,负责实施
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和
皇家山大学确认遭入侵,黑客声称对攻击负责
卡尔加里的皇家山大学表示,黑客在入侵该校网络后,从其文件存储系统中窃取并删除了数
严重漏洞暴露 GitHub Agentic Workflows 面
Noma Labs 警告称,GitHub Agentic Workflows 中存在一个严重的提示注入漏洞,可能允
Google Dialogflow CX 漏洞可让攻击者劫持
Varonis 报告称,Google Cloud 的 Dialogflow CX 服务中存在一个漏洞,可能允许攻击者
Оправы Медицинские Дл
Чтобы выбрать качественные солнцезащитные
Citrix 修复六个 NetScaler 漏洞,涉及文件
Citrix 周二发布了安全更新,以解决 NetScaler ADC 和 NetScaler Gateway 中的多个漏
"DirtyClone" Linux 内核漏洞可获取 Root
JFrog 发布了针对近期一个高严重性 Linux 内核漏洞的技术细节和概念验证代码,该漏洞
日产披露与 Oracle 零日攻击相关的员工数据
日产汽车警告称,在威胁行为者利用 Oracle PeopleSoft 漏洞进行与此前与 ShinyHunters
黑客现已利用关键 Oracle E-Business 漏洞
据威胁情报公司 Defused 称,攻击者已开始利用 Oracle E-Business Suite (EBS) 财务应
Microsoft 将 Mastra AI 供应链攻击归因于
Microsoft 将最近导致超过 140 个 npm 软件包受损的 Mastra AI 供应链攻击归因于朝鲜
Siemens 称 Desigo CC 文件被安全引擎标记
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案