Skip to content
Frontend Master 2026
HTML, CSS, JS i Git w jednym pakiecie
Sprawdź
Frontend Master 2026
Sprawdź
devstock logo
  • O nas
  • Moduły Akademii
    • Moduł 1
    • Moduł 2
    • Moduł 3
    • Pozostałe moduły
  • Kursy AI i IT
    • Pierwsza Misja AI (Podstawy)
    • Automatyzacje z n8n 2.0
    • Frontend Master 2026
  • Blog
  • Kontakt
  • O nas
  • Moduły Akademii
    • Moduł 1
    • Moduł 2
    • Moduł 3
    • Pozostałe moduły
  • Kursy AI i IT
    • Pierwsza Misja AI (Podstawy)
    • Automatyzacje z n8n 2.0
    • Frontend Master 2026
  • Blog
  • Kontakt
Kurs Pierwsza Misja AI - banner reklamowy
Bezpieczeństwo i Jakość

GitLost – luka w GitHub Copilot, która wynosiła prywatny kod firm

  • 09 lip, 2026
  • Komentarze 0
otorealistyczna grafika w klimacie thrillera: logo GitHub, a z uchylonego stalowego sejfu z prywatnym kodem wypływają świecące linie kodu do otwartej przestrzeni. Ilustracja do artykułu o luce GitLost w GitHub Copilot.

Wystarczyło jedno grzecznie sformułowane zdanie ukryte w publicznym zgłoszeniu, żeby agent AI GitHuba sięgnął do prywatnego repozytorium firmy i wkleił jego zawartość w widoczny dla wszystkich komentarz. Tak w skrócie działa GitLost, luka opisana 7 lipca 2026 przez badaczy z Noma Labs. Nikt nie musiał łamać haseł ani podrzucać złośliwego kodu. Wystarczyło poprosić, a automatyczny asystent, który miał tylko pomagać przy zadaniach, posłusznie wyniósł na zewnątrz to, co miało zostać w środku.

Jak działa atak GitLost

Cały mechanizm opiera się na starej słabości modeli językowych, czyli podatności na wstrzyknięcie polecenia. Model nie odróżnia twardo instrukcji od zwykłego tekstu, który ma tylko przeczytać. GitLost celuje w funkcję o nazwie Agentic Workflows, w której agent napędzany przez Claude albo GitHub Copilot samodzielnie wykonuje zadania w GitHub Actions, a podatny przepływ miał prawo odczytu zarówno publicznych, jak i prywatnych repozytoriów organizacji.

Atakujący zakłada zwykłe zgłoszenie w publicznym repozytorium tej samej organizacji i ukrywa w jego treści polecenia napisane potocznym językiem. Gdy agent zabiera się do obsługi zgłoszenia, traktuje ukryty tekst jak wiążącą komendę. Wystarczyło poprzedzić polecenie zwrotem w stylu “a dodatkowo”, żeby model uznał je za kolejne zadanie, a nie coś, co powinien odrzucić. Agent sięga wtedy do prywatnego repozytorium, pobiera z niego dane i publikuje je jako komentarz pod tym samym publicznym zgłoszeniem. Badacze pokazali to na zawartości plików z zamkniętego repozytorium, ale tą samą drogą mogą wypłynąć również inne wrażliwe pliki.

Dlaczego tej dziury nie da się po prostu załatać

Najbardziej niewygodne jest to, że nie ma tu jednej linijki kodu do poprawienia. Wstrzyknięcie polecenia wynika z samej natury modeli, które nie stawiają twardej granicy między instrukcją a danymi do przetworzenia. Dlatego badacze z Noma nie zaproponowali łatki, tylko zmianę w dokumentacji i w sposobie współdzielenia kluczy między repozytoriami. Kłopot w tym, że nawet to nie zostało wdrożone. Jak podał serwis The Register, do 8 lipca GitHub nie wprowadził takiej dokumentacji, a na prośby dziennikarzy o komentarz nie odpowiedział. Firma wiedziała o planach ujawnienia szczegółów, więc to milczenie sporo mówi o tym, jak trudno tę klasę problemów domknąć.

Co to znaczy dla firm, które wpuściły agentów do repozytoriów

GitLost dobrze pokazuje, na czym polega nowe ryzyko. Agent AI działa z takimi uprawnieniami, jakie nadaje mu dany przepływ, a tu obejmowały one odczyt również prywatnych repozytoriów organizacji. Jeśli przy okazji czyta treści z zewnątrz, na przykład zgłoszenia od nieznanych osób, każdy taki tekst staje się potencjalnym poleceniem. To nie jest odosobniony przypadek. Podobny schemat, w którym agent posłusznie robi to, o co go poproszono, widzieliśmy przy ataku ransomware prowadzonym w całości przez agenta AI. Ostrożność wobec narzędzi AI do kodu przypominał też przypadek, gdy Alibaba zablokowała Claude Code po znalezieniu ukrytego kodu.

Frontend Master 2026 · Kodożercy

Wreszcie rozumiesz, dlaczego kod od AI raz działa, a raz nie

Frontend Master 2026 to pakiet sześciu kursów Kodożerców, który daje Ci język do prowadzenia kodu od AI: poprawiania, łączenia, rozszerzania i szybkiego znajdowania linijki, którą trzeba zmienić. Bez teorii dla samej teorii.

Wchodzę w to →
Frontend Master 2026 - Kodożercy

Jak się chronić przed wyciekiem przez agenta

Dobra wiadomość jest taka, że kilka prostych zasad mocno ogranicza ryzyko. Najważniejsza mówi, żeby każdą treść z zewnątrz, w tym zgłoszenia i komentarze, traktować jako dane niezaufane, których agent nie powinien wykonywać jak poleceń. Warto też rozdzielić uprawnienia i klucze, żeby ten sam agent nie miał naraz dostępu do publicznego i prywatnego repozytorium przez wspólny token. Pomaga również zawężenie tego, co agent może zrobić samodzielnie, oraz przegląd akcji, które uruchamia w reakcji na zdarzenia. Zasady projektowania takich zabezpieczeń dla agentów opisywaliśmy szerzej przy bezpieczeństwie serwerów MCP. Reguła jest jedna: im więcej swobody dostaje automat, tym dokładniej trzeba pilnować, skąd bierze polecenia.

Podsumowanie

GitLost nie jest spektakularnym włamaniem i właśnie dlatego jest groźny. Nie wymagał łamania zabezpieczeń. Wykorzystał to, że agent AI robi, o co się go poprosi, nawet gdy prośba jest ukryta w publicznym zgłoszeniu. Ponieważ problem tkwi w samej konstrukcji modeli, nie zniknie po jednej aktualizacji, a milczenie GitHuba raczej nie dodaje spokoju. Dla firm, które oddają agentom coraz więcej pracy przy kodzie, płynie z tego jasny wniosek. Automat warto traktować jak nowego współpracownika z szerokim dostępem, ale bez wyczucia, komu można ufać. Zanim dostanie klucze do prywatnych repozytoriów, trzeba najpierw ustalić, czego nie wolno mu zrobić, gdy ktoś z zewnątrz grzecznie o to poprosi.

Newsletter · DevstockAcademy & Kodożercy

Bądź na bieżąco ze światem IT, AI i automatyzacji

Co wtorek: newsy z branży, praktyczne tipy i narzędzia które warto znać. Zero spamu.


Udostępnij na:
Mateusz Wojdalski

Specjalista SEO i content marketingu w Devstock. Zajmuję się strategią treści, automatyzacją procesów marketingowych i wdrożeniami AI w codziennej pracy. Badam nowe narzędzia, adaptuję je do realnych zadań i piszę o tym, co faktycznie działa.

Czy warto uczyć się n8n, skoro agenci AI "zrobią to jednym promptem"
Chip AI DeepSeek - własny układ, żeby uciec od Nvidii i sankcji
Banner reklamowy Frontend Master 2026

Najnowsze wpisy

Thumb
GPT-5.6 dla wszystkich – szybszy, niż zdążysz
10 lip, 2026
Thumb
Chat Control wraca do UE, choć większość
10 lip, 2026
Thumb
Chip AI DeepSeek – własny układ, żeby
09 lip, 2026
Thumb
GitLost – luka w GitHub Copilot, która
09 lip, 2026
Thumb
Czy warto uczyć się n8n, skoro agenci
09 lip, 2026

Kategorie

  • Aktualności i Wydarzenia (61)
  • Bezpieczeństwo i Jakość (72)
  • Branża IT i Nowe Technologie (149)
  • Design i User Experience (4)
  • Narzędzia i Automatyzacja (114)
  • Programowanie i Technologie Webowe (80)
  • Rozwój kariery i Edukacja (33)

Tagi

5G AI Architektura Cyberbezpieczeństwo Feedback Frontend Git IoT JavaScript Motywacja Nauka efektywna Optymalizacja i wydajność Programowanie React.JS Rozwój osobisty WebDevelopment
Logo FitBody Center Warszawa

Odkryj zabiegi Endermologii LPG Infinity w FitBody Center Warszawa

Maszyna zabiegowa - endermologia lpg infinity
banner-reklamowy-frontend-master
Group-5638-1

Devstock – Akademia programowania z gwarancją pracy

🏠 ul. Bronowska 5a,
03-995 Warszawa
📞 +48 517 313 589
✉️ contact@devstockacademy.pl

Linki

  • Poznaj firmę Devstock
  • Wejdź do społeczności Devstock
  • Polityka prywatności
  • Regulamin

FitBody Center

Strona

  • Strona główna
  • Kontakt

Newsletter

Bądź na bieżąco, otrzymuj darmową wiedzę i poznaj nas lepiej!


Icon-facebook Icon-linkedin2 Icon-instagram Icon-youtube Tiktok
Copyright 2026 Devstock. Wszelkie prawa zastrzeżone
Devstock AcademyDevstock Academy
Sign inSign up

Sign in

Don’t have an account? Sign up
Lost your password?

Sign up

Already have an account? Sign in