Underc0de - La Casa de los Informáticos

Foros Generales => Noticias Informáticas => Mensaje iniciado por: Dragora en Julio 07, 2026, 11:41:09 AM

Título: GitLost: vulnerabilidad en GitHub expone repositorios privados
Publicado por: Dragora en Julio 07, 2026, 11:41:09 AM
(https://i.imgur.com/EoDRvWC.jpeg)

La integración de inteligencia artificial (IA) en las plataformas de desarrollo está transformando la forma en que los equipos automatizan tareas, gestionan incidencias y aceleran la entrega de software. Sin embargo, esta evolución también introduce nuevos riesgos de seguridad que los ciberdelincuentes están aprendiendo a explotar.

Investigadores de Noma Security han revelado una nueva técnica denominada GitLost, capaz de aprovechar los GitHub Agentic Workflows para engañar a agentes de inteligencia artificial y provocar la filtración de información confidencial almacenada en repositorios privados. Lo más preocupante es que el ataque no requiere credenciales robadas, acceso previo a la organización ni permisos especiales, ya que basta con crear una incidencia aparentemente legítima en un repositorio público.

El hallazgo pone nuevamente de manifiesto los desafíos de seguridad que plantea la adopción de agentes de IA con permisos elevados dentro de entornos de desarrollo, especialmente cuando estos interactúan con contenido generado por usuarios externos.

¿Qué es GitLost?

GitLost es una técnica de prompt injection indirecta que explota el funcionamiento de los GitHub Agentic Workflows, una característica que GitHub lanzó en febrero de 2026 en fase de vista previa pública.

Estos flujos de trabajo permiten automatizar tareas utilizando instrucciones escritas en lenguaje natural en lugar de scripts tradicionales. En otras palabras, los desarrolladores pueden definir acciones mediante archivos Markdown y delegar tareas a un agente de inteligencia artificial que interpreta dichas instrucciones, analiza incidencias (Issues), revisa solicitudes de extracción (Pull Requests), ejecuta herramientas y responde automáticamente.

Dependiendo de la configuración elegida por cada organización, estos agentes pueden estar impulsados por modelos como:


Por defecto, los agentes funcionan con permisos limitados. Sin embargo, muchas organizaciones les conceden tokens con acceso de lectura a múltiples repositorios, incluidos proyectos privados, para ofrecerles un mayor contexto y mejorar la automatización entre distintos equipos.

Precisamente esa capacidad es la que GitLost convierte en una vulnerabilidad crítica.

Cómo funciona el ataque GitLost

La técnica desarrollada por Noma Security aprovecha un problema ampliamente conocido en los modelos de lenguaje: la inyección indirecta de instrucciones o prompt injection.

Los modelos de IA tienen dificultades para distinguir entre:


Como consecuencia, un atacante puede ocultar órdenes maliciosas dentro de una incidencia pública y conseguir que el agente las interprete como parte de su trabajo.

El ataque paso a paso

La prueba de concepto desarrollada por los investigadores sigue un proceso relativamente sencillo:


Todo ello ocurre utilizando únicamente los permisos que la propia organización concedió previamente al agente.

Una sola palabra fue suficiente para evitar las protecciones

GitHub ya era consciente del riesgo que supone la prompt injection y había incorporado múltiples mecanismos defensivos en los Agentic Workflows.

Entre ellos destacan:


No obstante, los investigadores descubrieron que bastó modificar ligeramente el texto malicioso para eludir estas protecciones.

En concreto, añadieron la palabra "Adicionalmente" antes de la instrucción oculta.

Ese pequeño cambio hizo que el modelo interpretara la orden como una continuación natural de la tarea principal, permitiendo que superara los filtros de seguridad implementados por GitHub.

El resultado fue que el agente recuperó información de un repositorio privado y la publicó en un comentario accesible públicamente.

¿Por qué GitLost es especialmente peligroso?

Según Sasi Levi, responsable de investigación de seguridad en Noma Security, GitLost representa un cambio importante respecto a ataques anteriores.

La mayoría de los ataques de prompt injection buscaban manipular las respuestas generadas por un modelo de IA.

GitLost va mucho más allá.

Su objetivo consiste en manipular las acciones que ejecuta el agente utilizando sus propios privilegios.

En este escenario, el agente deja de ser simplemente un asistente conversacional para convertirse en un componente con acceso privilegiado dentro de la infraestructura de desarrollo de una organización.

Esto significa que el atacante puede aprovechar los permisos del agente para acceder a información que jamás podría consultar directamente.

La "trifecta letal" de la inteligencia artificial

El investigador y desarrollador Simon Willison ha denominado este tipo de escenarios como la "trifecta letal", un concepto que también adopta Noma Security.

Esta situación aparece cuando un agente reúne simultáneamente tres características:


Cuando estos tres elementos coinciden, existe un canal potencial de exfiltración de datos extremadamente difícil de eliminar únicamente mediante filtros.

Un problema arquitectónico difícil de resolver

Los investigadores sostienen que GitLost no es un fallo tradicional que pueda solucionarse simplemente aplicando un parche.

La razón es que los modelos de lenguaje trabajan sobre texto natural y no existe una separación clara entre datos e instrucciones, como ocurre en otros ataques clásicos, por ejemplo las inyecciones SQL.

Mientras que una base de datos distingue perfectamente entre código y datos, un modelo de IA interpreta ambos como texto.

Por ello, cualquier contenido externo puede contener instrucciones capaces de modificar el comportamiento del agente.

Según Noma Security, esta limitación convierte el problema en un desafío arquitectónico más que en una vulnerabilidad puntual.

GitLost se suma a una larga lista de ataques similares

La investigación de Noma Security no constituye un caso aislado.

Durante los últimos meses han aparecido diversas técnicas dirigidas contra agentes de inteligencia artificial utilizados en plataformas de desarrollo.

Entre los casos más relevantes destacan:

Claude Code

Una vulnerabilidad descubierta en la acción Claude Code permitió utilizar una incidencia maliciosa para provocar la filtración de secretos y obtener acceso de escritura sobre repositorios.

RoguePilot

Investigadores de Orca Security demostraron cómo era posible engañar a GitHub Copilot mediante instrucciones ocultas para obtener tokens privilegiados.

Invariant Labs

En mayo de 2025, Invariant Labs reveló que un agente conectado al servidor MCP de GitHub podía ser manipulado mediante una incidencia pública para acceder a repositorios privados.

Los investigadores calificaron el problema como una limitación arquitectónica.

Comment and Control

Otro estudio demostró que era posible engañar simultáneamente a:


El objetivo era lograr que los propios agentes filtraran sus claves API, incluso superando las protecciones adicionales implementadas por GitHub.

¿Qué información podría filtrarse?

El alcance del ataque depende directamente de los permisos concedidos al agente.

Si dispone de acceso amplio dentro de la organización, un atacante podría obtener:


Cuanto mayor sea el alcance del token utilizado por el agente, mayor será el impacto potencial del ataque.

Cómo proteger los flujos de trabajo con IA en GitHub

Aunque GitHub ya incorpora diversas medidas de seguridad, los expertos recomiendan aplicar controles adicionales para reducir la superficie de ataque.

Entre las principales recomendaciones destacan:


GitHub reconoce el riesgo, pero el desafío continúa

Noma Security notificó responsablemente el hallazgo a GitHub antes de hacerlo público.

La compañía ya había implementado diversas barreras para mitigar este tipo de ataques, pero la investigación demuestra que los modelos de lenguaje siguen siendo vulnerables cuando deben interpretar contenido controlado por atacantes.

El propio GitHub reconoce en su documentación que los agentes de IA pueden ser manipulados mediante prompt injection, contenido malicioso en repositorios o herramientas comprometidas, razón por la que continúa reforzando sus mecanismos de protección.

En fin...

La aparición de GitLost evidencia que los riesgos asociados a los agentes de inteligencia artificial van mucho más allá de la generación de respuestas incorrectas. Cuando estos sistemas cuentan con acceso a repositorios privados, procesan contenido externo y pueden publicar información automáticamente, se convierten en un objetivo de alto valor para los atacantes.

Más que un simple error de programación, GitLost expone una limitación arquitectónica inherente a los modelos de lenguaje, incapaces de diferenciar de forma fiable entre instrucciones legítimas y datos manipulados. En consecuencia, las organizaciones que adopten flujos de trabajo basados en IA deberán reforzar sus controles de acceso, aplicar el principio de mínimo privilegio y mantener supervisión humana en las tareas críticas. Solo mediante una arquitectura de seguridad basada en el aislamiento de permisos y la validación de resultados será posible aprovechar las ventajas de la automatización inteligente sin poner en riesgo la información confidencial de la empresa.

Fuente: https://thehackernews.com/