GitHub推出的Agentic Workflows本意是让AI代理(Agent)通过自然语言自动化处理Issue和代码,却被发现存在严重的间接Prompt Injection漏洞。攻击者只需在公共Issue中加入“Additionally(此外)”等特定引导词,就能诱导AI跨越权限边界,将企业私有仓库的代码读取并公开发布。这并非传统意义上的代码漏洞,而是模型在处理“系统指令”与“用户数据”时产生的逻辑混淆。
这件事的底层逻辑在于,AI Agent的上下文窗口既是它的工作区,也是它的受攻击面。目前的LLM在本质上无法从物理层面隔绝“指令”与“数据”,这使得Prompt Injection正演变为AI时代的SQL注入。最深刻的警示是:永远不要寄希望于通过“提示词工程”来构建安全护栏,那就像是在没锁的银行金库门上贴一张“请勿偷窃”的告示。真正的安全必须回归传统的确定性架构——严格限制Agent的Token权限,并实现物理级的读写隔离。
noma.security/blog/gitlost-how-we-tricked-githubs-ai-agent-into-leaking-private-repos/
#人工智能##AI创造营##网络安全##GitHub#