GitLost:GitHubのAIエージェントを欺き、非公開リポジトリのデータを流出させるプロンプトインジェクションの脆弱性 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > GitLost:GitHubのAIエージェントを欺き、非公開リポジトリのデータを流出させるプロンプトインジェクションの脆弱性

デイリーサイバーアラート

AI

Silobreaker-CyberAlert

プロンプトインジェクション

GitLost:GitHubのAIエージェントを欺き、非公開リポジトリのデータを流出させるプロンプトインジェクションの脆弱性

佐々山 Tacos

佐々山 Tacos

2026.07.08

GitLost:GitHubのAIエージェントを欺き、非公開リポジトリのデータを流出させるプロンプトインジェクションの脆弱性

HackRead – July 7, 2026

GitHubにおけるプロンプトインジェクションの脆弱性「GitLost」により、公開Issueを利用してGitHub Agentic Workflowsを欺き、組織の非公開リポジトリのコンテンツを流出させることが可能になるという。Noma Securityの研究者らが報告した。

 

GitHub Agentic Workflowsは、GitHub Actionsで実行される自動化された意図駆動型のリポジトリワークフロー。プレーンなMarkdownで記述され、コーディングエージェントによって実行される。ユーザーはこれを利用することで、自然言語を使ってコードリポジトリとのやり取りを自動化することができる。同エージェントは、組織内のIssueの読み取り、ツールの呼び出し、および組織内の他のリポジトリへのアクセスを行うことが可能だという。

 

Nomaの研究者はGitHub Agentic Workflowsの提供開始を受け、このGitHubエージェントが、本来信頼すべきでないコンテンツを読み取ってしまったら何が起こるのだろうとの疑問を抱き、調査を開始。結果的に、プロンプトインジェクションを根本原因とする脆弱性「GitLost」の発見に至ったと述べている。

 

プロンプトインジェクションは、AIエージェントが悪意あるコンテンツを信頼できる指示とみなし、これに従うことで可能になる攻撃。攻撃者はこれを利用することで、エージェントに不正な活動を行わせることができるようになる。GitLostのケースでは、攻撃者がGitHub Issueを作成し、その本文に平文の英語で記されたコマンドを埋め込むことで、GitHubエージェントを攻撃者の指示に従わせることが可能な状態になっていたとされる。

 

Nomaの研究者が実証した同脆弱性悪用の大まかな流れは以下の通り。

  • ①攻撃者(Nomaの研究者)が標的組織の公開リポジトリ上にIssueを作成。このIssueは、顧客との会議を受けて営業部門の責任者から寄せられたもっともらしいリクエストのように見せかけてあり、同組織の公開リポジトリ「poc」および非公開リポジトリ「testlocal」のREADME.mdのコンテンツを示すよう要求するものだった。
  • ②Issueが自動でアサインされ、ワークフローアクションがトリガーされる。
  • ③GitHubエージェントがIssueのタイトルと本文を入力コンテキストとして読み取る。
  • ④GitHubエージェントがIssueに返答するため、公開リポジトリ「poc」および非公開リポジトリ「testlocal」のREADME.mdのコンテンツをフェッチ。
  • ⑤GitHubエージェントはこれらのコンテンツをIssueへの公開コメントとして投稿。誰もがこのコンテンツへアクセス・閲覧できる状態になった。

 

GitHubはその他のベンダーと同様、こうした間接プロンプトインジェクション攻撃を防ぐためのセーフガードを設けているものの、Nomaの研究者らはあ、Issue本文に非公開リポジトリのREADME.mdの内容を尋ねる文に「Additionally」という単語を付け加えることで、AIモデルがリクエストを拒否するのではなく、応答の表現を改めることを発見。こうした条件下ではGitHubのプロンプトベースの安全策を迂回できることを実証した。

 

Nomaの研究者らは、これらのGitHubツールを活用してシステムを構築する組織に対し、ユーザーが制御するコンテンツを決して信頼できる指示入力として扱わないこと、権限を必要最小限に限定すること、エージェントが公開できる内容を制限すること、そしてユーザー入力がモデルに到達する前に指示の文脈から切り離すことを推奨。加えて、各リポジトリへ横断的にアクセスできるエージェントは、標的として特に狙われやすいと指摘した。

 

なお、Nomaは責任ある開示プロセスを通じてGitHubへこの脆弱性について報告済みとのこと。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ