cnt
GitLost: Datenklau aus Github-Repos per Prompt Injection
Quelle: Noma Security

GitLost: Datenklau aus Github-Repos per Prompt Injection

Ein KI-Agent auf Github gibt mit dem richtigen Befehl vertrauliche Informationen aus privaten Repositories preis. Es sei eine Prompt Injection "nach Lehrbuch", wie die Entdecker schreiben.
9. Juli 2026



Eine neue Sicherheitslücke mit dem passenden Namen GitLost erlaubt das Abgreifen von Code aus privaten Github-Repositories via Prompt Injection. Sicherheitsforscher des KI-Security-Unternehmens Noma Security haben die Lücke gefunden und veröffentlicht.

Der Datendiebstahl läuft über das Automatisierungs-Tool Github Agentic Workflows. Mit diesem können Entwickler in natürlicher Sprache mit ihren Code Repos interagieren. Der Agent kann damit etwa Tools aufrufen oder auf andere Repositories innerhalb der Organisation zugreifen.


Bei einer Prompt Injection werden einer KI Informationen gefüttert, die diese fälschlicherweise als vertrauenswürdig einordnet. So führt die KI unter Umständen dann Befehle aus, die eigentlich ausserhalb ihrer eigenen Sicherheitsrichtlinien liegen. Laut Noma ist GitLost damit eine "Prompt Injection Attacke nach Lehrbuch". Ein Angreifer brauche für die Ausnutzung der Lücke damit keine Coding Skills oder Zugangsdaten für private Repositories. Es muss lediglich ein Github Issue in einem öffentlichen Repository erstellt werden, von wo aus Informationen aus einem privaten Repository der gleichen Organisation abgegriffen werden können. Der Agent postet die heiklen Infos als Kommentar im öffentlichen Repo.
Die Lücke wurde von Noma vor der Veröffentlichung frühzeitig an Github gemeldet. Die Security-Spezialisten schliessen mit folgenden Empfehlungen für Unternehmen:
• Behandeln Sie von Benutzern gesteuerte Inhalte niemals als vertrauenswürdige Befehlseingaben für einen KI-Agenten.
• Beschränken Sie Berechtigungen auf das erforderliche Minimum. Agenten mit Repository-übergreifendem Zugriff sind besonders attraktive Angriffsziele.
• Schränken Sie ein, was ein Agent öffentlich posten darf, insbesondere als Reaktion auf Issues.
• Isolieren Sie Benutzereingaben vom Befehlskontext, bevor Sie sie an das Modell weiterleiten.


Hier gibt’s den Proof of Concept, Videos und weitere Erklärungen zu GitLost.
(win)


Weitere Artikel zum Thema

Github bringt kurzzeitig Repo-CDs

6. Juli 2026 - Für kurze Zeit ermöglicht es Github interessierten Entwicklern, Repositories auf CD-ROM zu erhalten. Die spassig zu verstehende Aktion ist wohl als Spitze gegen Sony gedacht, dass die Produktion von Playstation Game Discs einstellen will.

Lockdown-Modus neu für alle ChatGPT-User

8. Juni 2026 - Der optional zuschaltbare Lockdown Mode von ChatGPT soll vor Prompt-Injection-Angriffen schützen. Bisher nur für Geschäftskunden verfügbar, wird er neu auf alle ChatGPT-Nutzer ausgerollt.

6 Dollar für einen Prompt: Neues Preismodell von Github Copilot in der Kritik

2. Juni 2026 - Nach der Anpassung von Githubs Preismodell für den KI-Helfer Github Copilot melden sich erste Entwickler mit Feedback. Während manche sich bereits arrangiert haben, berichten andere von einer Kostenexplosion.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER