GitHub'ın AI Ajanı Genel Issue Üzerinden Özel Depoları Sızdırıyor
Noma Labs, GitHub'ın AI ajanının gizli talimatlarla kandırılarak özel repo içeriğini herkese açık yorumda sızdırdığını gösterdi.
Noma Labs araştırmacıları, GitHub'ın yeni Agentic Workflows özelliğinde (GitHub Actions + Claude/Copilot destekli AI ajanı) ciddi bir prompt injection açığı buldu. Sıradan görünen bir GitHub Issue'nun içine gizlenmiş talimatlar, organizasyon genelindeki özel depolara salt-okunur erişimi olan ajanı kandırarak private bir reponun README.md içeriğini herkese açık bir yorum olarak paylaşmasına neden oldu. Hiçbir kimlik bilgisi veya exploit kodu gerekmedi.
Daha da kritiği, GitHub'ın mevcut güvenlik önlemleri tek bir kelime eklenerek ('Additionally') atlatılabildi; model reddetmek yerine çıktısını yeniden çerçeveleyip talimatları uyguladı. Bu durum, bilinen saldırı kalıplarına göre ayarlanmış korumaların, ifade üzerinde iterasyon yapmaya istekli herkes tarafından kolayca aşılabileceğini gösteriyor.
Noma Labs bunu SQL injection'ın web uygulamalarına yaptığının ajanik AI sistemlerine yapılan versiyonu olarak tanımlıyor: yapısal bir güven sınırı sorunu. Ajan, operatörün talimatları ile kullanıcı tarafından kontrol edilen içerikteki gizli talimatları ayırt edemiyor. Mühendisler için çıkarım net: cross-repo erişimi minimumda tutun, ajanların kullanıcı içeriğini herkese açık şekilde paylaşmasına izin vermeyin ve ajan bağlamına giren tüm girdileri SQL sorgularındaki gibi güvenilmez kabul edin.