\nPesquisadores de segurança cibernética do Noma Labs descobriram uma vulnerabilidade na plataforma GitHub, que chamaram de GitLost. Agentes de inteligência artificial em execução na plataforma, mediante determinadas solicitações, recuperam dados de repositórios fechados e os publicam na forma de comentários públicos.\n\n

\n\nFonte da imagem: Rubaitul Azad / unsplash.com\n\nO problema é relevante para GitHub Agentic Workflows, que permitem que agentes de IA executando Anthropic Claude ou GitHub Copilot executem tarefas offline em GitHub Actions. Para explorar a vulnerabilidade, um invasor hipotético não precisa de habilidades de programação ou credenciais para acessar os repositórios – tudo o que ele precisa fazer é criar uma mensagem de erro em um repositório público de propriedade de uma organização que usa o serviço Agentic Workflow, especificar os comandos maliciosos em inglês simples e simplesmente esperar. Depois de algum tempo, o agente de IA publicará os dados necessários como um comentário público no relatório do bug.\n\nComo é o caso da maioria dos ataques de injeção de consulta que afetam os agentes e outros sistemas de IA, corrigir o código não corrigirá a vulnerabilidade. Como solução, os investigadores propuseram divulgar informações sobre a vulnerabilidade aos utilizadores e recomendar que endureçam as suas políticas de gestão de dados privados: acesso por agentes de IA, repositórios e chaves API. Como exemplo do ataque, os pesquisadores do Noma Labs criaram repositórios públicos e privados na plataforma e, em uma das mensagens de erro, imitaram um apelo do vice-presidente de uma empresa fictícia aos seus subordinados, no qual ele, em especial, solicitava o conteúdo de arquivos de um repositório fechado. O agente de IA divulgou obedientemente as informações solicitadas como um comentário público.\n\nEspecialistas do Noma Labs relataram o problema à administração do GitHub e declararam que estavam cientes de sua intenção de revelar o padrão de ataque GitLost. O problema ameaça empresas que têmrepositórios públicos e privados. “Um agente autônomo não deve representar uma ameaça de vazamento de dados ocultos e divulgação de segredos. Antes que o departamento de segurança conceda permissão a qualquer agente autônomo, ele deve garantir que compreende todas as conexões, acessos e caminhos possíveis, bem como o intervalo provável de acesso e permissões do agente. É impossível proteger o que você não pode ver e o que não controla”, alertou o Noma Labs.\n