Wystarczyło jedno grzecznie sformułowane zdanie ukryte w publicznym zgłoszeniu, żeby agent AI GitHuba sięgnął do prywatnego repozytorium firmy i wkleił jego zawartość w widoczny dla wszystkich komentarz. Tak w skrócie działa GitLost, luka opisana 7 lipca 2026 przez badaczy z Noma Labs. Nikt nie musiał łamać haseł ani podrzucać złośliwego kodu. Wystarczyło poprosić, a automatyczny asystent, który miał tylko pomagać przy zadaniach, posłusznie wyniósł na zewnątrz to, co miało zostać w środku.
Jak działa atak GitLost
Cały mechanizm opiera się na starej słabości modeli językowych, czyli podatności na wstrzyknięcie polecenia. Model nie odróżnia twardo instrukcji od zwykłego tekstu, który ma tylko przeczytać. GitLost celuje w funkcję o nazwie Agentic Workflows, w której agent napędzany przez Claude albo GitHub Copilot samodzielnie wykonuje zadania w GitHub Actions, a podatny przepływ miał prawo odczytu zarówno publicznych, jak i prywatnych repozytoriów organizacji.
Atakujący zakłada zwykłe zgłoszenie w publicznym repozytorium tej samej organizacji i ukrywa w jego treści polecenia napisane potocznym językiem. Gdy agent zabiera się do obsługi zgłoszenia, traktuje ukryty tekst jak wiążącą komendę. Wystarczyło poprzedzić polecenie zwrotem w stylu “a dodatkowo”, żeby model uznał je za kolejne zadanie, a nie coś, co powinien odrzucić. Agent sięga wtedy do prywatnego repozytorium, pobiera z niego dane i publikuje je jako komentarz pod tym samym publicznym zgłoszeniem. Badacze pokazali to na zawartości plików z zamkniętego repozytorium, ale tą samą drogą mogą wypłynąć również inne wrażliwe pliki.
Dlaczego tej dziury nie da się po prostu załatać
Najbardziej niewygodne jest to, że nie ma tu jednej linijki kodu do poprawienia. Wstrzyknięcie polecenia wynika z samej natury modeli, które nie stawiają twardej granicy między instrukcją a danymi do przetworzenia. Dlatego badacze z Noma nie zaproponowali łatki, tylko zmianę w dokumentacji i w sposobie współdzielenia kluczy między repozytoriami. Kłopot w tym, że nawet to nie zostało wdrożone. Jak podał serwis The Register, do 8 lipca GitHub nie wprowadził takiej dokumentacji, a na prośby dziennikarzy o komentarz nie odpowiedział. Firma wiedziała o planach ujawnienia szczegółów, więc to milczenie sporo mówi o tym, jak trudno tę klasę problemów domknąć.
Co to znaczy dla firm, które wpuściły agentów do repozytoriów
GitLost dobrze pokazuje, na czym polega nowe ryzyko. Agent AI działa z takimi uprawnieniami, jakie nadaje mu dany przepływ, a tu obejmowały one odczyt również prywatnych repozytoriów organizacji. Jeśli przy okazji czyta treści z zewnątrz, na przykład zgłoszenia od nieznanych osób, każdy taki tekst staje się potencjalnym poleceniem. To nie jest odosobniony przypadek. Podobny schemat, w którym agent posłusznie robi to, o co go poproszono, widzieliśmy przy ataku ransomware prowadzonym w całości przez agenta AI. Ostrożność wobec narzędzi AI do kodu przypominał też przypadek, gdy Alibaba zablokowała Claude Code po znalezieniu ukrytego kodu.
Frontend Master 2026 · Kodożercy
Wreszcie rozumiesz, dlaczego kod od AI raz działa, a raz nie
Frontend Master 2026 to pakiet sześciu kursów Kodożerców, który daje Ci język do prowadzenia kodu od AI: poprawiania, łączenia, rozszerzania i szybkiego znajdowania linijki, którą trzeba zmienić. Bez teorii dla samej teorii.
Wchodzę w to →

Jak się chronić przed wyciekiem przez agenta
Dobra wiadomość jest taka, że kilka prostych zasad mocno ogranicza ryzyko. Najważniejsza mówi, żeby każdą treść z zewnątrz, w tym zgłoszenia i komentarze, traktować jako dane niezaufane, których agent nie powinien wykonywać jak poleceń. Warto też rozdzielić uprawnienia i klucze, żeby ten sam agent nie miał naraz dostępu do publicznego i prywatnego repozytorium przez wspólny token. Pomaga również zawężenie tego, co agent może zrobić samodzielnie, oraz przegląd akcji, które uruchamia w reakcji na zdarzenia. Zasady projektowania takich zabezpieczeń dla agentów opisywaliśmy szerzej przy bezpieczeństwie serwerów MCP. Reguła jest jedna: im więcej swobody dostaje automat, tym dokładniej trzeba pilnować, skąd bierze polecenia.
Podsumowanie
GitLost nie jest spektakularnym włamaniem i właśnie dlatego jest groźny. Nie wymagał łamania zabezpieczeń. Wykorzystał to, że agent AI robi, o co się go poprosi, nawet gdy prośba jest ukryta w publicznym zgłoszeniu. Ponieważ problem tkwi w samej konstrukcji modeli, nie zniknie po jednej aktualizacji, a milczenie GitHuba raczej nie dodaje spokoju. Dla firm, które oddają agentom coraz więcej pracy przy kodzie, płynie z tego jasny wniosek. Automat warto traktować jak nowego współpracownika z szerokim dostępem, ale bez wyczucia, komu można ufać. Zanim dostanie klucze do prywatnych repozytoriów, trzeba najpierw ustalić, czego nie wolno mu zrobić, gdy ktoś z zewnątrz grzecznie o to poprosi.
Newsletter · DevstockAcademy & Kodożercy
Bądź na bieżąco ze światem IT, AI i automatyzacji
Co wtorek: newsy z branży, praktyczne tipy i narzędzia które warto znać. Zero spamu.



