Auf den Punkt: KI-Agenten erkennen Vertrauensgrenzen zwischen privaten und öffentlichen Ressourcen nicht und werden so zum unbeabsichtigten Bridge zwischen sensiblen internen Systemen und dem öffentlichen Internet.
Ein Prompt-Injection-Angriff ermöglicht es Angreifern, GitHubs Agentic Workflows dazu zu bringen, Inhalte aus privaten Repositories zu extrahieren und öffentlich zu publizieren. Die Sicherheitsfirma Noma Security hat den Angriff als grundsätzliches Architektur-Problem bei KI-Agenten mit privilegiertem Zugriff identifiziert.
Angriffsmechanismus: Forscher von Noma Security zeigten, dass ein unauthentifizierter Angreifer einen GitHub Issue in einem öffentlichen Repository mit versteckten Anweisungen einreichen kann. GitHub Agentic Workflows kombinieren GitHub Actions mit KI-Modellen (Claude, GitHub Copilot) und interpretieren solche Issues als Instruktionen statt als untrusted Content. Besteht für den Agent Read-Access auf private Repositories derselben Organisation, ruft er die geforderten Dateien ab und publiziert sie im öffentlichen Issue-Thread.
Der Angriff trägt die Bezeichnung „GitLost“ und erfordert weder gestohlene Credentials noch Malware oder Software-Schwachstellen. In einer Demonstration generierten Noma-Forscher einen scheinbar harmlose Issue mit Dokumentations-Anfrage, worauf der Agent eine README-Datei aus einem privaten Repository auslas und öffentlich kommentierte. Weitere Tests zeigten, dass minimale Umformulierungen Githubs Prompt-basierte Guardrails umgingen, obwohl der Agent identische Instruktionen zuvor abgelehnt hatte.
Systemische Ursache: Cybersecurity-Forscher Vibhum Dubey ordnet das Problem grundlegend ein: Der Fehler liegt nicht primär in der Prompt-Injection, sondern in Githubs Permission-Modell. KI-Agenten operieren auf Basis von Service-Account-Berechtigungen, nicht User-Berechtigungen, und haben keine Ausführungs-Kontexte für Vertrauensgrenzen. Der Agent „weiß“ nicht, dass ein Repository privat ist—er sieht nur „zugänglich“. Noma warnt, dass dies ein generisches Architektur-Problem darstellt, das alle KI-Agenten mit Zugriff auf sowohl untrusted External Content als auch sensitive Internal Resources betrifft.
Implikationen für CISOs: Mit zunehmender Deployment von KI-Agenten häufen sich solche „invisiblen Permission Gaps“ an. Dubey betont, dass Organisationen ihr Permissions-Management für KI-Agenten grundlegend überdenken müssen—nicht nur Monitoring optimieren. Vertrauensgrenzen existieren in Githubs Datenmodell, jedoch nicht im Execution Context des Agenten. Dies erfordert neue Kontrollstrukturen vor Permission-Vergabe, um zu verhindern, dass Agenten zu unkontrollierten Brücken zwischen internen und externen Ressourcen werden.
Quelle: www.csoonline.com · Erschienen 8. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.