Masalah GitHub Publik Dapat Menipu Alur Kerja Agen GitHub Menjadi Bocornya Data Repo Pribadi
thehackernews. com 8 Juli 2026 PT Shazfatech Digital Solution

Masalah GitHub Publik Dapat Menipu Alur Kerja Agen GitHub Menjadi Bocornya Data Repo Pribadi

Penyerang hanya perlu membuka masalah yang tampak normal pada repositori publik, tanpa kredensial yang dicuri dan tidak ada akses ke organisasi.

3 menit baca Tools Cyber Security 1 kali dibaca

Sumber: thehackernews. com

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Masalah publik dapat mengelabui GitHub Agentic Workflows agar membocorkan konten repositori pribadi suatu organisasi, menurut para peneliti di Noma Security.

Penyerang hanya perlu membuka masalah yang tampak normal pada repositori publik, tanpa kredensial yang dicuri dan tidak ada akses ke organisasi. Jika organisasi tersebut telah memberikan akses baca kepada agen di seluruh repositorinya, termasuk repositori pribadi, masalah ini dapat mengarahkannya untuk menarik konten pribadi ke dalam komentar publik.

Agen di sini, katanya, bukanlah jendela obrolan tetapi aktor yang memiliki kredensial yang berada di dalam infrastruktur yang berdekatan dengan CI/CD organisasi, dengan akses baca yang mencakup repo yang tidak dapat dilihat oleh penyerang. Itu tidak menyentuh server, tidak memerlukan kredensial yang dicuri, dan tidak memerlukan akses tulis ke sesuatu yang bersifat pribadi. Penyerang hanya perlu membuka isu publik.

RoguePilot dari Orca Security menggunakan perintah tersembunyi dalam masalah GitHub untuk membuat Copilot membocorkan token istimewa repositori. Versi agen GitHub dari masalah ini terjadi setidaknya pada bulan Mei 2025, ketika Invariant Labs menunjukkan bahwa masalah publik dapat mendorong agen yang terhubung ke server MCP GitHub untuk membaca repo pribadi dan membocorkannya melalui permintaan tarik; para peneliti menyebutnya arsitektural, tanpa patch sisi server untuk menutupnya.

Noma mengungkapkan GitLost ke GitHub dan mempublikasikan temuannya dengan sepengetahuan perusahaan. Paparan terbatas pada organisasi yang telah mengaktifkan pratinjau dan menghubungkan agen untuk membaca masukan publik yang tidak tepercaya sambil memegang akses baca ke repositori pribadi dan dapat memposting di publik.

Dalam praktiknya, akses lintas-repo tersebut berasal dari token akses pribadi yang disiapkan oleh organisasi, jadi lingkupkan token tersebut ke satu repositori yang diprioritaskan oleh alur kerja, bukan ke seluruh organisasi. Alur penulisan hanya melalui keluaran yang dinyatakan aman, jadi batasi apa yang dapat diposkan oleh alur kerja yang dapat dilihat oleh publik, karena komentar yang dihasilkannya adalah saluran eksfiltrasi. Batasi konten penulis mana yang akan ditindaklanjuti oleh agen, dan batasi keluarannya agar dapat ditinjau oleh manusia.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com