GitLost 脆弱性:公開リポジトリの Issue が非公開リポジトリをこじ開ける | ScanNetSecurity
2026.07.15(水)

GitLost 脆弱性:公開リポジトリの Issue が非公開リポジトリをこじ開ける

 そして、AI エージェントやシステムを悩ますプロンプトインジェクション問題の大半と同様、この脆弱性はコードで完全に修正することはできない。AI は自然言語を理解して応答することが本来の機能であり、正当な要求と悪意ある要求を区別できない場合があるからだ。そこで Noma の研究者たちはドキュメントによる対応を GitHub に提案したが、それすらも実現しなかった。

国際
https://noma.security/blog/gitlost-how-we-tricked-githubs-ai-agent-into-leaking-private-repos/

 悪意あるプロンプト入力者は GitHub のエージェントを簡単に騙してプライベートリポジトリからデータを引き出し、誰でもアクセスできる公開コメントとして情報を漏洩させることができる。Noma Labs の研究者たちはこの脆弱性を「GitLost」と名付けた(編集部註:“Get Lost”には“消え失せろ”の意も)。

 問題は GitHub Agentic Workflows に存在する。これは Claude や GitHub Copilot で動く AI エージェントが GitHub Actions 内でタスクを自律的に実行できる機能だ。

 AI セキュリティ研究者たちが 7 月 6 日 月曜日のブログで発見・詳述したところによると、このワークフローには致命的なプロンプトインジェクション脆弱性がある。同じ組織に属する公開リポジトリで GitHub issue を作成するだけで、GitHub の AI エージェントにプライベートリポジトリからデータを取得させることができる。


《The Register誌特約記事》

関連記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)

×