Les garde-fous de GitHub ne fonctionnaient pas comme prévu : comment un simple ticket a suffi à vider les dépôts privés d’une entreprise
Des chercheurs ont découvert une faille permettant d’extraire les données de dépôts privés GitHub sans aucune authentification, juste en piégeant l’agent IA chargé de répondre aux tickets.
Fin juin 2026, GitHub a lancé les Agentic Workflows, une fonctionnalité qui associe GitHub Actions à un agent IA reposant sur Claude ou GitHub Copilot. Cette fonctionnalité vise à permettre aux équipes de décrire leurs automatisations en langage naturel, l’agent s’occupant de lire les tickets et de répondre de manière autonome.
Les chercheurs de Noma Security ont testé cet outil et ont mis au jour une vulnérabilité, baptisée GitLost, révélée au public le 6 juillet 2026. Cette faille repose sur l’injection de prompt indirecte, une méthode consistant à dissimuler des instructions dans un contenu que l’agent lit, dans ce cas, un ticket ou un commentaire.
Sasi Levi, à la tête de cette recherche, a déclaré : « En trompant le modèle, j’ai ainsi pu démontrer que les garde-fous de GitHub ne fonctionnaient pas comme prévu et n’ont pas empêché la fuite de données. »
Le scénario décrit par les chercheurs ne nécessite aucune compétence technique ou accès particulier. Il suffit d’ouvrir un ticket dans un dépôt public d’une organisation utilisant les Agentic Workflows. Lorsque le ticket est assigné, l’agent lit le contenu et répond par un commentaire public, accédant ainsi à l’ensemble des dépôts de l’organisation, qu’ils soient publics ou privés.
Le problème majeur survient lorsque l’agent, après avoir été piégé, extrait le contenu d’un fichier README.md d’un dépôt privé et le publie dans un commentaire visible par tous. Les chercheurs ont également contourné certains garde-fous en ajoutant simplement le mot « Additionally » à leurs instructions, ce qui a suffi à reformuler la réponse au lieu de la bloquer.
Noma a signalé cette faille à GitHub de manière responsable, mais l’entreprise n’a pas encore réagi publiquement à cette découverte. Ce cas met en lumière une problématique plus large, reconnue par Microsoft dans un article de blog publié en juillet 2025. L’entreprise y admettait que l’injection de prompt indirecte n’est pas simplement un bug à corriger, mais un risque structurel inhérent aux modèles de langage probabilistes, pour lesquels aucune méthode de détection totalement fiable n’existe.
Source : Noma Security
