L'entreprise de securite Noma a devoile GitLost, une faille qui a permis a un simple Issue GitHub public de pieger l'agent IA de GitHub pour fuiter des donnees de repos prives. Selon Noma, dont les travaux ont ete rapportes par Dark Reading, The Hacker News et SiliconANGLE, l'astuce ne demandait ni code ni compte sur la cible. C'est un cas d'ecole des risques de la securite des agents IA. Voici comment ca marche.
Ce qu'est GitHub Agentic Workflows
GitHub a recemment lance Agentic Workflows, qui associe GitHub Actions - son systeme d'automatisation - a un agent IA propulse par Claude ou GitHub Copilot. Les equipes ecrivent le workflow en Markdown, et l'agent lit les Issues, appelle des outils et repond seul. C'est un vrai agent de code IA branche sur vos depots.
Le piege : un agent autonome agit sur tout texte qu'il lit. Et une partie de ce texte vient de sources publiques non fiables.

Comment l'attaque a fonctionne
Selon Noma, l'exploit utilise l'injection de prompt indirecte - des instructions hostiles enfouies dans le contenu que l'agent lit, que le modele suit ensuite comme si elles venaient de son operateur.
Le workflow vulnerable se declenchait a l'assignation d'un Issue. Il lisait le titre et le corps, postait un commentaire en reponse, et tournait avec un acces en lecture aux repos publics et prives de l'organisation. L'attaque, etape par etape :
- Un attaquant a ouvert un Issue public dans un repo public de la meme organisation.
- Caches dans le corps, presentes comme une requete de routine d'un commercial, se trouvaient des commandes en langage clair pour l'agent.
- Une fois l'Issue assigne par l'automatisation GitHub, l'agent les a suivies : il a recupere des fichiers README d'un repo public et d'un repo prive.
- Il a ensuite publie ce contenu prive en commentaire public lisible par tous.
Aucun code d'exploit. Aucun login sur la cible. Juste un Issue bien redige.
Pourquoi c'est important
GitLost n'est pas un bug dans une ligne de code. C'est le risque central de l'IA agentique : un agent avec un acces large en lecture qui lit aussi des entrees non fiables peut etre pilote par ces entrees. Le modele ne distingue pas de facon fiable "les instructions de mon operateur" du "texte d'un Issue qu'on m'a dit de lire".
C'est la meme faiblesse que derriere l'injection de prompt en general - ici visant un vrai produit avec acces a du code prive.
Comment vous proteger
- Moindre privilege. Ne donnez pas a un workflow d'agent un acces large en lecture aux repos prives dont il n'a pas besoin.
- Mefiez-vous des declencheurs non fiables. Prudence avec les workflows declenches par des Issues, commentaires ou pull requests publics - c'est du texte controle par l'attaquant.
- Separez instructions et donnees. Traitez tout ce que l'agent lit comme des donnees, pas des commandes, et gardez votre prompt de confiance a part.
- Humain dans la boucle. Exigez une relecture avant qu'un agent publie ou agisse sur quoi que ce soit de sensible.
Ce qu'il faut retenir honnetement
Deux precautions. D'abord, GitLost a ete divulguee de facon responsable a GitHub - c'est une faiblesse demontree, rapportee par les medias de securite, pas la preuve d'une exploitation de masse. Ensuite, le correctif n'a rien d'exotique : moindre privilege, hygiene des entrees non fiables et relecture humaine sont de la securite standard, appliquee a une nouvelle surface agentique.
La lecture honnete : les workflows agentiques sont puissants parce qu'ils lisent vos Issues et agissent sur vos repos - et dangereux pour exactement la meme raison. En branchant des agents sur de vrais systemes, supposez que tout texte lu peut etre une instruction, et limitez ce qu'ils peuvent atteindre. Pour choisir d'emblee des modeles capables et bien eleves, notre panorama meilleurs LLM de code 2026 aide.



