你让 AI 助手代管仓库,它不只会回答问题,还能读取文件、调用工具。方便之处也正是风险所在:据 Noma Labs 披露,他们发现名为 GitLost 的漏洞,可让未登录攻击者仅靠在公开仓库提交一条精心设计的 Issue,就诱使 GitHub 的新 Agentic Workflows 泄露同一组织的私有仓库数据。
这是一种提示词注入——把恶意指令藏进 AI 会读取的内容,类似对 AI 决策层做“社会工程”。演示中的工作流会在 Issue 被分配后启动,并拥有读取组织内其他仓库的权限。研究人员让智能体读取公开仓库和私有仓库的 README.md,随后把内容作为公开评论发回 Issue,任何人都能看到。攻击者不需要代码能力、账号或凭证。这个案例说明,代码智能体的权限越广,公开输入与私有数据之间的隔离就越重要;上述结果来自 Noma Labs 自述,材料未披露 GitHub 的修复状态。