Eine neue Sicherheitslücke mit dem passenden Namen GitLost erlaubt das Abgreifen von Code aus privaten Github-Repositories via Prompt Injection. Sicherheitsforscher des KI-Security-Unternehmens Noma Security haben die Lücke gefunden und veröffentlicht.
Der Datendiebstahl läuft über das Automatisierungs-Tool
Github Agentic Workflows. Mit diesem können Entwickler in natürlicher Sprache mit ihren Code Repos interagieren. Der Agent kann damit etwa Tools aufrufen oder auf andere Repositories innerhalb der Organisation zugreifen.
Bei einer Prompt Injection werden einer KI Informationen gefüttert, die diese fälschlicherweise als vertrauenswürdig einordnet. So führt die KI unter Umständen dann Befehle aus, die eigentlich ausserhalb ihrer eigenen Sicherheitsrichtlinien liegen. Laut Noma ist GitLost damit eine "Prompt Injection Attacke nach Lehrbuch". Ein Angreifer brauche für die Ausnutzung der Lücke damit keine Coding Skills oder Zugangsdaten für private Repositories. Es muss lediglich ein Github Issue in einem öffentlichen Repository erstellt werden, von wo aus Informationen aus einem privaten Repository der gleichen Organisation abgegriffen werden können. Der Agent postet die heiklen Infos als Kommentar im öffentlichen Repo.
Die Lücke wurde von Noma vor der Veröffentlichung frühzeitig an
Github gemeldet. Die Security-Spezialisten schliessen mit folgenden Empfehlungen für Unternehmen:
• Behandeln Sie von Benutzern gesteuerte Inhalte niemals als vertrauenswürdige Befehlseingaben für einen KI-Agenten.
• Beschränken Sie Berechtigungen auf das erforderliche Minimum. Agenten mit Repository-übergreifendem Zugriff sind besonders attraktive Angriffsziele.
• Schränken Sie ein, was ein Agent öffentlich posten darf, insbesondere als Reaktion auf Issues.
• Isolieren Sie Benutzereingaben vom Befehlskontext, bevor Sie sie an das Modell weiterleiten.
Hier gibt’s den Proof of Concept, Videos und weitere Erklärungen zu GitLost.
(win)