GitHub Agentic Workflows ermöglicht es, Workflows in natürlicher Sprache als Markdown-Dateien zu definieren. Ein KI-Agent setzt diese dann als GitHub Actions um und automatisiert so die Interaktion mit Code-Repositories. Genau an dieser Stelle setzt die von Noma Labs beschriebene Schwachstelle an.

Laut den Forschern war ein GitHub Agentic Workflow so konfiguriert, dass er bei Ereignissen vom Typ issues.assigned ausgelöst wird, den Titel und den Text eines GitHub-Issues ausliest und darauf mit einem Kommentar antwortet. Nach Angaben von Noma Labs lief dieser Workflow mit Lesezugriff sowohl auf öffentliche als auch auf private Repositories derselben Organisation.

Das eröffnet laut Noma Labs einen einfachen Angriffsweg: Ein nicht authentifizierter Angreifer erstellt in einem öffentlichen Repository der Organisation ein präpariertes Issue, in dem indirekte Eingabeanweisungen versteckt sind. Der KI-Agent verarbeitet den Inhalt des Issues und kann die darin verborgenen Instruktionen ausführen. Noma Labs betont, dass für die Ausnutzung weder Programmierkenntnisse noch Zugriffsrechte oder Zugangsdaten nötig waren. Es habe genügt, ein Issue in einem öffentlichen Repository einer Organisation mit GitHub-Agentic-Workflow-Konfiguration zu eröffnen und abzuwarten.

Die Sicherheitsforscher überprüften das Angriffsszenario mit einem plausibel wirkenden Anliegen, das angeblich aus der Vertriebsleitung stammte. Dieses präparierte GitHub-Issue konnte den Agenten demnach dazu bringen, die Inhalte von Readme.md-Dateien aus öffentlichen und privaten Repositories abzurufen und als öffentlichen Kommentar zu veröffentlichen.

GitHub verfügt laut dem Bericht zwar über Schutzmechanismen gegen diese Art von Angriff. Diese reichten im Test von Noma Labs jedoch nicht aus. Die Forscher probierten verschiedene Varianten aus und konnten das Verhalten schließlich durch das zusätzliche Einfügen des Schlüsselworts „additionally“ auslösen.

Noma Labs zieht dabei einen grundsätzlichen Vergleich: Für agentische KI entsprächen indirekte Prompt-Injection-Angriffe der Rolle, die SQL-Injections in Webanwendungen spielen. Deshalb sei ein systematischer Verteidigungsansatz erforderlich. Wörtlich erklärt das Unternehmen, GitLost veranschauliche „eine der grundlegenden Sicherheitsherausforderungen, mit denen jede Organisation bei agentischen KI-Systemen konfrontiert ist“. Das Kontextfenster des Agenten sei zugleich seine Angriffsfläche. Jeder Inhalt, den der Agent lese — etwa Issues, Pull Requests, Kommentare oder Dateien — könne zur Waffe werden, wenn der Agent diese Inhalte als instruktive Eingaben behandle.

Noma Labs hat die Erkenntnisse nach eigenen Angaben verantwortungsvoll an GitHub gemeldet. Als Gegenmaßnahmen empfiehlt das Unternehmen, sämtliche von Nutzern kontrollierten Inhalte als nicht vertrauenswürdig zu behandeln, die Berechtigungen von Agenten auf das erforderliche Minimum zu begrenzen, einzuschränken, was Agenten öffentlich veröffentlichen dürfen, und Nutzereingaben zu bereinigen, bevor sie an KI-Agenten übergeben werden.