Siden februar 2026 har GitHub Agentic Workflows vært i public preview: i stedet for å skrive automatiseringsskript beskriver du oppgaven på vanlig engelsk i en Markdown-fil, og en agent leser issues, kjører verktøy og svarer på egen hånd. Agenten kan drives av GitHub Copilot, Anthropics Claude, Google Gemini eller OpenAI Codex. Sikkerhetsforskere hos Noma Security har vist at nettopp denne fleksibiliteten kan snus mot deg. Angrepet deres, kalt «GitLost», trenger verken stjålne innlogginger eller tilgang til organisasjonen. Det holder å åpne en helt vanlig issue på et offentlig repo.
Forutsetningen er at organisasjonen har gitt arbeidsflyten et token med lesetilgang på tvers av repoene sine, private inkludert, for å gi agenten kontekst. Arbeidsflyter er skrivebeskyttet som standard, men ifølge Noma er det tokenet akkurat det GitLost utnytter. I forskernes proof-of-concept var den ondsinnede issuen forkledd som en rutineforespørsel fra en «VP of Sales» etter et kundemøte. Da en automatisering tildelte issuen, hentet agenten README-en fra et privat repo og limte den inn i en offentlig kommentar.
GitHub bygde vern mot akkurat dette: sandkasse, skrivebeskyttede tokens som standard, input-rensing og et trussel-deteksjonssteg som skanner agentens foreslåtte output før den postes. Noma rapporterer at én endring på ett ord var nok til å slippe forbi. Ved å prefikse instruksjonen med ordet «Additionally» ble den behandlet som en oppfølgingsoppgave i stedet for noe å avvise, og filteret lot den passere.
«Tidligere eksempler på prompt-injection handlet stort sett om å manipulere hva en agent sa. GitLost handler om å manipulere hva en agent gjør med rettighetene sine.» — Sasi Levi, Security Research Lead i Noma Security
Mønsteret er det utvikleren Simon Willison døpte «the lethal trifecta»: en agent som kan nå private data, tar inn ubetrodd eksternt innhold og har en vei til å sende data ut. GitHub advarer selv i dokumentasjonen sin om at «AI-agenter kan manipuleres av prompt-injection, ondsinnet repo-innhold eller kompromitterte verktøy». Dette er ingen feil en patch lukker, og det finnes ikke noe CVE-nummer å vente på. Noma og GitHub arkiverer resultatet under «arkitektonisk begrensning»: i naturlig språk finnes det ingen ren grense mellom data og instruksjon slik det gjør i SQL.
GitLost er heller ikke først i rekken. The Hacker News har rapportert flere lignende de siste månedene, blant annet en feil i Anthropics Claude Code GitHub Action som lot en enkelt issue presse agenten til å lekke hemmeligheter, og Orca Securitys «RoguePilot», der en skjult prompt fikk Copilot til å lekke et privilegert repo-token. Allerede i mai 2025 viste Invariant Labs at en offentlig issue kunne dytte en agent koblet til GitHubs MCP-server til å lese et privat repo og lekke det gjennom en pull request.
Hva bør du gjøre?
Det viktigste grepet er å skjerme token-scope. Cross-repo-tilgangen kommer fra en personal access token organisasjonen setter opp, og den bør begrenses til det ene repoet arbeidsflyten kjører mot, ikke hele organisasjonen. Deretter må du låse utgangskanalen: writes går kun gjennom deklarerte «safe outputs», og kommentaren agenten produserer er selve eksfiltreringskanalen, så snevre inn hva en offentlig-vendt arbeidsflyt får lov til å poste. Til slutt lønner det seg å sette et menneske i loopen. Begrens hvilke forfatteres innhold agenten reagerer på, og la noen godkjenne output før den publiseres. Trussel-deteksjonssteget er en backstop, ikke en grense.