GitHub Agentic Workflows verknüpft die Automatisierungsfunktionen von GitHub Actions mit einem KI-Agenten, der Entwicklerteams bei der Verwaltung ihrer GitHub-Abläufe unterstützen soll. Die Teams können damit Interaktionen mit Repositories in natürlicher Sprache automatisieren. Nach Angaben von Noma Security entsteht daraus jedoch eine heikle Vertrauensgrenze: Der Agent verarbeitet nicht nur Systemanweisungen, sondern auch Inhalte wie Issues, Pull Requests, Kommentare oder Dateien.

Noma nennt die Schwachstelle „GitLost“. Der Angriff basiert auf Prompt Injection, also dem Einschleusen versteckter Anweisungen in Inhalte, die der Agent als Eingabe liest. Laut Sasi Levi, Security Research Lead bei Noma, zeigt der Fall ein grundlegendes Sicherheitsproblem agentischer KI-Systeme: Das Kontextfenster des Agenten sei zugleich seine Angriffsfläche. Wenn der Agent Inhalte als vertrauenswürdige Anweisungen behandle, obwohl sie von Nutzern stammen, lasse er sich fehlleiten oder missbrauchen.

Im von Noma untersuchten Fall war der anfällige Workflow so konfiguriert, dass er bei „issues.assigned“-Ereignissen ausgelöst wird, Titel und Text eines Issues ausliest, mit dem Werkzeug zum Hinzufügen von Kommentaren antwortet und dabei Lesezugriff auf weitere öffentliche und private Repositories der Organisation besitzt. Das Proof of Concept von Noma nutzte genau diese Konfiguration aus und führte zur Offenlegung privater Organisationsdaten über ein Treffen von Beschäftigten.

Der Bericht beschreibt den Ablauf so: Ein nicht authentifizierter Angreifer erstellt in einem öffentlichen Repository einer Organisation ein GitHub-Issue und versteckt im Beschreibungstext in gewöhnlichem Englisch formulierte Befehle. Der GitHub-Agent folgt diesen Anweisungen und kann dadurch Daten aus privaten Repositories abrufen. Laut Noma sind dafür weder Programmierkenntnisse noch Zugangsdaten oder sonstige Berechtigungen nötig.

Jason Soroko, Senior Fellow beim Zertifikatslebenszyklus-Management-Anbieter Sectigo, sagte gegenüber Dark Reading, die Schwachstelle zeige, dass Angreifer nur in gewöhnlichem Englisch formulierte Befehle in Inhalte einbetten müssten, um eine hoch privilegierte KI dazu zu bringen, ihre eigenen Schutzmechanismen zu umgehen und stillschweigend privates geistiges Eigentum preiszugeben. Soroko sieht darin einen grundlegenden Wandel: Während klassische Automatisierung auf starren, durch Code erzwungenen Grenzen beruhe, vermische natürliche Sprache Systemanweisungen und nicht vertrauenswürdige Nutzerdaten im selben Kontextfenster.

Levi sagte Dark Reading zudem, GitLost sei ein Beispiel für eine Klasse von Schwachstellen, vor der Sicherheitsforscher wiederholt warnen. Das spreche dagegen, dass es sich nur um einen einmaligen Implementierungsfehler in einer einzelnen Funktion handle; vielmehr sei es eine strukturelle Folge davon, KI-Agenten dauerhafte Berechtigungen zu geben und sie zugleich von Angreifern erreichbare Texte verarbeiten zu lassen.

Noma erklärte, die Schwachstelle verantwortungsvoll an GitHub gemeldet zu haben. GitHub habe auf Anfrage von Dark Reading zunächst nicht mitgeteilt, ob das Problem bereits behoben wurde. Laut Noma teilte GitHub den Forschern jedoch mit, dass die Dokumentation aktualisiert worden sei, durch die die Schwachstelle entstanden sei; bei der letzten Überprüfung durch die Forscher sei diese dort nicht mehr vorhanden gewesen.

Sowohl Soroko als auch Noma fordern als Reaktion strengere Begrenzungen für solche Systeme. Soroko empfiehlt einen Zero-Trust-Ansatz für die Daten, die KI-Agenten verarbeiten, eine Prüfung bestehender KI-Workflow-Konfigurationen nach dem Prinzip der geringsten Rechte sowie das Entfernen unnötiger repository-übergreifender Zugriffe. Noma rät ebenfalls dazu, von Nutzern kontrollierte Inhalte niemals als vertrauenswürdige Anweisungen für KI-Agenten zu behandeln und Berechtigungen auf das notwendige Minimum zu beschränken, da Agenten mit repository-übergreifendem Zugriff besonders attraktive Ziele seien.