GitLost:GitHubのAIエージェントを欺き、非公開リポジトリのデータを流出させるプロンプトインジェクションの脆弱性
GitHubにおけるプロンプトインジェクションの脆弱性「GitLost」により、公開Issueを利用してGitHub Agentic Workflowsを欺き、組織の非公開リポジトリのコンテンツを流出させることが可能になるという。Noma Securityの研究者らが報告した。
GitHub Agentic Workflowsは、GitHub Actionsで実行される自動化された意図駆動型のリポジトリワークフロー。プレーンなMarkdownで記述され、コーディングエージェントによって実行される。ユーザーはこれを利用することで、自然言語を使ってコードリポジトリとのやり取りを自動化することができる。同エージェントは、組織内のIssueの読み取り、ツールの呼び出し、および組織内の他のリポジトリへのアクセスを行うことが可能だという。
Nomaの研究者はGitHub Agentic Workflowsの提供開始を受け、このGitHubエージェントが、本来信頼すべきでないコンテンツを読み取ってしまったら何が起こるのだろうとの疑問を抱き、調査を開始。結果的に、プロンプトインジェクションを根本原因とする脆弱性「GitLost」の発見に至ったと述べている。
プロンプトインジェクションは、AIエージェントが悪意あるコンテンツを信頼できる指示とみなし、これに従うことで可能になる攻撃。攻撃者はこれを利用することで、エージェントに不正な活動を行わせることができるようになる。GitLostのケースでは、攻撃者がGitHub Issueを作成し、その本文に平文の英語で記されたコマンドを埋め込むことで、GitHubエージェントを攻撃者の指示に従わせることが可能な状態になっていたとされる。
Nomaの研究者が実証した同脆弱性悪用の大まかな流れは以下の通り。
- ①攻撃者(Nomaの研究者)が標的組織の公開リポジトリ上にIssueを作成。このIssueは、顧客との会議を受けて営業部門の責任者から寄せられたもっともらしいリクエストのように見せかけてあり、同組織の公開リポジトリ「poc」および非公開リポジトリ「testlocal」のREADME.mdのコンテンツを示すよう要求するものだった。
- ②Issueが自動でアサインされ、ワークフローアクションがトリガーされる。
- ③GitHubエージェントがIssueのタイトルと本文を入力コンテキストとして読み取る。
- ④GitHubエージェントがIssueに返答するため、公開リポジトリ「poc」および非公開リポジトリ「testlocal」のREADME.mdのコンテンツをフェッチ。
- ⑤GitHubエージェントはこれらのコンテンツをIssueへの公開コメントとして投稿。誰もがこのコンテンツへアクセス・閲覧できる状態になった。
GitHubはその他のベンダーと同様、こうした間接プロンプトインジェクション攻撃を防ぐためのセーフガードを設けているものの、Nomaの研究者らはあ、Issue本文に非公開リポジトリのREADME.mdの内容を尋ねる文に「Additionally」という単語を付け加えることで、AIモデルがリクエストを拒否するのではなく、応答の表現を改めることを発見。こうした条件下ではGitHubのプロンプトベースの安全策を迂回できることを実証した。
Nomaの研究者らは、これらのGitHubツールを活用してシステムを構築する組織に対し、ユーザーが制御するコンテンツを決して信頼できる指示入力として扱わないこと、権限を必要最小限に限定すること、エージェントが公開できる内容を制限すること、そしてユーザー入力がモデルに到達する前に指示の文脈から切り離すことを推奨。加えて、各リポジトリへ横断的にアクセスできるエージェントは、標的として特に狙われやすいと指摘した。
なお、Nomaは責任ある開示プロセスを通じてGitHubへこの脆弱性について報告済みとのこと。
関連資料をダウンロード

デジタル時代における世界の紛争
地政学的紛争とサイバー作戦の境界は曖昧さを増し、国家や非国家主体によるサイバー攻撃が日常的に行われる中、戦争や外交の在り方が複雑化しています。 特にハクティビズムや偽情報キャンペーンは、ロシア・ウク...
-300x200.png)
【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report
本レポートは、サイバー脅威や地政学的リスクが高度化・複雑化する現代において、組織が適切な意思決定を行うために不可欠な「脅威インテリジェンス」の実践方法を解説するハンドブックです。特に、インテリジェンス...

OSINTから読み解く国家支援サイバー脅威の攻撃トレンド
国家の支援を受けたサイバー脅威が進化を続けています。昨年の国内暗号資産取引所からのビットコイン流出に、北朝鮮アクターの巧妙なソーシャルエンジニアリングが利用されていたことは、記憶に新しいかと思います。...












