Les garde-fous des agents d'intelligence artificielle de GitHub se sont avérés bien fragiles. Des chercheurs en sécurité ont démontré qu'il suffit de formuler une demande anodine dans un ticket public pour contraindre l'IA de la plateforme à révéler des données issues de dépôts privés, sans aucune authentification préalable.
Une attaque par injection indirecte de prompt
Sasi Levi, chercheur chez Noma Security, a mis au jour cette faille baptisée « GitLost ». Elle exploite le mécanisme des GitHub Agentic Workflows, une fonctionnalité récente qui permet aux équipes de développement de décrire leurs processus d'automatisation en langage naturel, via des fichiers Markdown. Ces workflows sont compilés en fichiers YAML et exécutés par un agent d'IA s'appuyant sur Claude ou GitHub Copilot.
L'attaque est une injection indirecte de prompt, un mode opératoire classique contre les systèmes d'agents. L'assaillant dépose un ticket (issue) dans un dépôt ouvert d'une organisation. Ce ticket contient des instructions cachées destinées à l'agent. Lorsque ce dernier lit le ticket – ce qu'il fait automatiquement pour traiter les demandes – il se laisse détourner de sa mission initiale et exécute les ordres frauduleux.
Un simple mot pour contourner les refus
Selon les détails publiés par l'équipe de Noma Security, l'agent peut ainsi être amené à parcourir les dépôts privés appartenant à la même organisation, à en lire le contenu, puis à le restituer dans des commentaires publics sur le ticket. Dans certains cas, l'ajout du seul mot « Additionally » (en français : « de plus ») suffit à franchir les garde-fous censés refuser ce type d'action.
La vulnérabilité nécessite toutefois une configuration précise : l'agent doit disposer d'un accès en lecture à plusieurs dépôts de l'organisation (cross-repo) et être déclenché par des entrées publiques. Ces paramètres peuvent être activés par un administrateur sans se douter du risque.
Aucun correctif officiel confirmé
Aucun numéro CVE n'a été attribué à cette vulnérabilité, et GitHub n'a pas communiqué publiquement sur un correctif au moment de la publication des recherches. La plateforme avait déjà été confrontée à des incidents de sécurité liés à ses fonctionnalités d'IA, mais celui-ci est particulièrement préoccupant car il ne nécessite aucun accès privilégié : n'importe qui peut poster un ticket sur un dépôt public.
Des implications étendues
Cette découverte illustre les risques émergents liés à l'intégration d'agents d'IA dans des environnements de développement. Comme le soulignent les experts, la frontière entre instructions de confiance et contenus non fiables doit être strictement maintenue, ce que l'implémentation actuelle ne garantit pas. Les entreprises utilisant les workflows agentiques de GitHub sont invitées à revoir leurs paramètres de permissions et à surveiller les tickets suspects.
Noma Security a partagé une vidéo de démonstration montrant l'exfiltration complète d'un dépôt privé en quelques secondes. La faille porte le nom de GitLost, en écho à la perte de contrôle sur les données confidentielles qu'elle peut entraîner.