post
GitLost: GitHub AI 에이전트를 속여 비공개 저장소 유출
Noma Labs는 GitHub Agentic Workflows에서 간접 프롬프트 인젝션 취약점 GitLost를 발견했으며, 공개 저장소 이슈만으로 같은 조직의 비공개 저장소 데이터를 공개 댓글에 노출시킬 수 있었음 이 기능은 Markdown 워크플로를 YAML Actions 파일로 컴파일하고, Claude 또는 GitHub Copilot 기반 AI 에이전트가 이슈를 읽고 도구를 호출하며 조직 내 저장소에 접근하는 구조임
한 줄 요약
Noma Labs는 GitHub Agentic Workflows에서 간접 프롬프트 인젝션 취약점 GitLost를 발견했으며, 공개 저장소 이슈만으로 같은 조직의 비공개 저장소 데이터를 공개 댓글에 노출시킬 수 있었음
핵심 내용
Noma Labs는 GitHub Agentic Workflows에서 간접 프롬프트 인젝션 취약점 GitLost를 발견했으며, 공개 저장소 이슈만으로 같은 조직의 비공개 저장소 데이터를 공개 댓글에 노출시킬 수 있었음
이 기능은 Markdown 워크플로를 YAML Actions 파일로 컴파일하고, Claude 또는 GitHub Copilot 기반 AI 에이전트가 이슈를 읽고 도구를 호출하며 조직 내 저장소에 접근하는 구조임
취약한 워크플로는 issues.assigned 이벤트에서 이슈의 Title과 Body를 읽고 add-comment로 응답했으며, 공개·비공개 저장소 읽기 권한을 가진 상태였음
공격자는 코드, 접근 권한, 자격 증명 없이 공개 저장소에 그럴듯한 이슈를 열기만 하면 됐고, 테스트에서는 poc와 testlocal의 README.md 내용이 공개 이슈 댓글에 게시됨
GitHub의 가드레일은 “Additionally” 변형에서 의도대로 막지 못했고, 에이전트형 AI에서는 컨텍스트 창 자체를 공격 표면으로 보고 사용자 제어 콘텐츠를 신뢰된 지시문과 분리해야함
왜 중요한가
이 기능은 Markdown 워크플로를 YAML Actions 파일로 컴파일하고, Claude 또는 GitHub Copilot 기반 AI 에이전트가 이슈를 읽고 도구를 호출하며 조직 내 저장소에 접근하는 구조임 취약한 워크플로는 issues.assigned 이벤트에서 이슈의 Title과 Body를 읽고 add-comment로 응답했으며, 공개·비공개 저장소 읽기 권한을 가진 상태였음 공격자는 코드, 접근 권한, 자격 증명 없이 공개 저장소에 그럴듯한 이슈를 열기만 하면 됐고, 테스트에서는 poc와 testlocal의 README.md 내용이 공개 이슈 댓글에 게시됨
GeekNews 상세 정리
Noma Labs는 GitHub Agentic Workflows에서 간접 프롬프트 인젝션 취약점 GitLost를 발견했으며, 공개 저장소 이슈만으로 같은 조직의 비공개 저장소 데이터를 공개 댓글에 노출시킬 수 있었음
이 기능은 Markdown 워크플로를 YAML Actions 파일로 컴파일하고, Claude 또는 GitHub Copilot 기반 AI 에이전트가 이슈를 읽고 도구를 호출하며 조직 내 저장소에 접근하는 구조임
취약한 워크플로는 issues.assigned 이벤트에서 이슈의 Title과 Body를 읽고 add-comment로 응답했으며, 공개·비공개 저장소 읽기 권한을 가진 상태였음
공격자는 코드, 접근 권한, 자격 증명 없이 공개 저장소에 그럴듯한 이슈를 열기만 하면 됐고, 테스트에서는 poc와 testlocal의 README.md 내용이 공개 이슈 댓글에 게시됨
GitHub의 가드레일은 “Additionally” 변형에서 의도대로 막지 못했고, 에이전트형 AI에서는 컨텍스트 창 자체를 공격 표면으로 보고 사용자 제어 콘텐츠를 신뢰된 지시문과 분리해야함
GitLost가 노린 신뢰 경계
Noma Labs는 GitHub의 새 Agentic Workflows에서 GitLost라는 취약점을 발견함
인증되지 않은 공격자가 같은 조직의 공개 저장소에 조작된 GitHub Issue를 게시하면, 에이전트가 조직 내 비공개 저장소 데이터를 가져오도록 유도될 수 있었음
공격 방식은 AI 에이전트가 읽는 콘텐츠 안에 악성 지시를 숨기는 간접 프롬프트 인젝션에 해당함
운영자가 의도한 지시보다 공격자가 숨긴 지시가 우선 처리되면, 비공개 데이터가 누구나 볼 수 있는 공개 이슈 댓글로 노출될 수 있음
GitHub Agentic Workflows의 동작 방식
GitHub Agentic Workflows는 팀이 저장소 자동화를 자연어로 작성할 수 있게함
워크플로는 Markdown .md 파일로 작성되고, YAML 형식의 GitHub Actions .yml 파일로 컴파일됨
실행 시 Claude 또는 GitHub Copilot 기반 AI 에이전트가 설정된 권한 안에서 작업함
참조한 것 · 가져온 것
원문: https://noma.security/blog/gitlost-how-we-tricked-githubs-ai-agent-into-leaking-private-repos/
GeekNews: https://news.hada.io/topic?id=31255