🔥 この記事の詳細
2026-07-07 更新
B
今週中

Noma Securityの研究者が、GitHub Agentic Workflowsの脆弱性を利用してプライベートリポジトリのデータを漏洩させる手法「GitL…

脆弱性🌐 英語ソース📰 2記事🌐 1 country
🇺🇸 US (2)
🖥️ 製品GitHub
📅 2026-07-07📰 hackernews
📌 一言でいうと
Noma Securityの研究者が、GitHub Agentic Workflowsの脆弱性を利用してプライベートリポジトリのデータを漏洩させる手法「GitLost」を発見しました。攻撃者が公開リポジトリに特定の指示を含むIssueを作成すると、AIエージェントがそれを読み取り、権限を持つプライベートリポジトリの内容を公開コメントに書き出す可能性があります。この攻撃は、組織がAIエージェントに広範な読み取り権限を付与している場合に有効です。
🔍該当判定
  • GitHubの新機能「GitHub Agentic Workflows(パブリックプレビュー版)」を利用している
  • AIエージェントに、組織内の「プライベートリポジトリ」への読み取り権限を付与している
  • AIエージェントに、複数のリポジトリを横断して情報を参照できるトークンを設定している
上記いずれにも該当しない → 静観でOK
該当時の対応
AIエージェントに付与する権限を最小限に制限し、不要なプライベートリポジトリへのアクセス権を与えないこと。また、AIエージェントによる公開リポジトリへの自動投稿内容を監視・制限することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】GitHub Agentic Workflows におけるデータ漏洩リスク(GitLost)について

お疲れさまです。GitHubのAIエージェント機能に関する脆弱性情報について共有します。

■ 概要
公開リポジトリに作成されたIssueを通じてAIエージェントを操作し、組織内のプライベートリポジトリの内容を公開コメントに書き出させる攻撃手法「GitLost」が報告されました。AIエージェントが広範な読み取り権限を持つ場合に発生します。

■ 影響範囲
- GitHub Agentic Workflows を利用し、かつエージェントに組織内の複数リポジトリ(プライベート含む)への読み取り権限を付与している環境

■ 対応手順
1. AIエージェントに付与しているトークンの権限を確認し、最小権限の原則に基づき不要なリポジトリへのアクセス権を削除してください。
2. AIエージェントが公開リポジトリで動作する場合の指示(Instructions)を見直し、機密情報の出力を制限するガードレールを検討してください。

■ 参考情報
- Noma Security 研究報告

対応優先度: 中
対応期限: 次回設定見直し時まで
Subject: [Security Advisory] Data Leakage Risk in GitHub Agentic Workflows (GitLost)

Dear IT/Security Team,

We are sharing information regarding a vulnerability in GitHub Agentic Workflows known as 'GitLost'.

■ Overview
Attackers can trick AI agents into leaking contents of private repositories by creating a public issue with malicious instructions. If the agent has broad read access across the organization, it may pull private data into a public comment.

■ Scope
- Organizations using GitHub Agentic Workflows where the agent is granted read access to multiple repositories, including private ones.

■ Mitigation Steps
1. Review the permissions granted to AI agent tokens and apply the principle of least privilege (PoLP) to restrict access to only necessary repositories.
2. Review and refine the instructions provided to AI agents to prevent the output of sensitive data in public forums.

■ Reference
- Noma Security Research

Priority: Medium
Deadline: Next configuration review