Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Vulnerabilidad GitLost engaña a la IA de GitHub para filtrar repositorios privados


Se ha descubierto una vulnerabilidad denominada “GitLost” que permite a los atacantes utilizar un único "Issue" de GitHub para engañar a los nuevos flujos de trabajo agenticos impulsados por IA de la plataforma. El objetivo es lograr que la IA filtre el contenido de repositorios privados a la red pública sin necesidad de credenciales, conocimientos de programación ni acceso al sistema. Estos flujos de trabajo combinan GitHub Actions con agentes de IA basados en Claude o GitHub.



Una vulnerabilidad recién revelada llamada "GitLost" muestra cómo los atacantes pueden convertir un simple "Issue" de GitHub en un arma para engañar a los nuevos Flujos de Trabajo Agénticos impulsados por IA de GitHub, logrando que filtren contenidos de repositorios privados a la internet pública, sin necesidad de credenciales, habilidades de programación ni acceso al sistema.

Los Flujos de Trabajo Agénticos de GitHub combinan GitHub Actions con un agente de IA respaldado por Claude o GitHub Copilot, lo que permite que los equipos escriban automatizaciones en Markdown sencillo que se compilan en archivos YAML de Actions.

Estos agentes pueden leer incidencias, llamar a herramientas, publicar comentarios y acceder a otros repositorios dentro de una organización basándose en permisos configurables, todo ello sin que un humano revise cada acción.

La vulnerabilidad surge de un fallo clásico de inyección indirecta de prompts. El flujo de trabajo vulnerable que identificó Noma Labs estaba configurado para activarse en eventos issues.assigned, leer el título y el cuerpo de la incidencia, responder mediante una herramienta de add-comment y operar con acceso de lectura tanto en repositorios públicos como privados de la organización.


Flujo de trabajo de la vulnerabilidad GitLost (Fuente: Noma Labs)

Debido a que el agente no lograba distinguir las instrucciones confiables del sistema del contenido no confiable proporcionado por el usuario, cualquier atacante podía incrustar comandos en inglés sencillo dentro del cuerpo de una incidencia y hacer que el agente los ejecutara como directivas.

Noma Labs diseñó una incidencia de apariencia inocua que imitaba la solicitud de un "VP de Ventas" tras una reunión con un cliente. Una vez asignada la incidencia, activando el flujo de trabajo, el agente obtuvo los contenidos de README.md tanto de un repositorio público (poc) como de uno privado (testlocal) y publicó el resultado combinado como un comentario público, visible para cualquier persona.

Cabe destacar que los investigadores descubrieron que añadir la palabra "Additionally" (Adicionalmente) a los prompts inyectados evitaba las protecciones existentes de GitHub, reformulando la respuesta del modelo en lugar de provocar un rechazo. Este sutil truco lingüístico resultó suficiente para derrotar los mecanismos de seguridad diseñados precisamente para evitar este tipo de filtraciones.

Noma Labs detalla el proceso, incluyendo una ejecución del flujo de trabajo y la incidencia desencadenante. Los datos filtrados incluyeron contenidos de README de sasinomalabs/poc (público), sasinomalabs/remote-ping (público) y, fundamentalmente, sasinomalabs/testlocal (privado).


GitLost (Fuente: Noma Labs)

GitLost subraya una debilidad estructural en los sistemas de IA agénticos: la ventana de contexto del modelo sirve también como su superficie de ataque. Cualquier contenido que un agente ingiera —incidencias, pull requests, comentarios, archivos— puede ser convertido en arma si el agente lo trata como una instrucción en lugar de como datos.

La seguridad de software tradicional asume que los límites de confianza se aplican en el código; los sistemas agénticos, en cambio, dependen del comportamiento del modelo, y los modelos que siguen instrucciones son inherentemente explotables de esta manera.

Los investigadores comparan cada vez más el papel de la inyección de prompts en la seguridad de la IA con el papel de la inyección SQL en la seguridad de aplicaciones web: una clase de vulnerabilidad sistémica que requiere defensas igualmente sistémicas.

  • Nunca trates el contenido controlado por el usuario como una entrada de instrucción confiable.
  • Limita los permisos del agente al mínimo necesario, especialmente para el acceso entre repositorios.
  • Restringe lo que los agentes pueden publicar públicamente en respuesta al contenido de una incidencia.
  • Sanea o aísla la entrada del usuario del contexto de instrucción antes del procesamiento del modelo.

Noma Labs reveló la vulnerabilidad GitLost a GitHub a través de un proceso de divulgación responsable.



Fuentes:
https://cybersecuritynews.com/gitlost-vulnerability-github/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.