Ein einziges öffentliches GitHub-Issue genügt, um den KI-Agenten in GitHubs Agentic Workflows dazu zu bringen, Inhalte aus privaten Repositories offenzulegen. Sicherheitsforscher haben die Lücke GitLost getauft. Betroffen ist jede Organisation, die ihrem Workflow-Agenten breite Leserechte einräumt.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenGitLost heißt die Prompt-Injection-Lücke, die das Team von Noma Security in GitHubs neuen Agentic Workflows aufgedeckt hat[1]. Ein Angreifer braucht dafür weder Zugangsdaten noch Programmierkenntnisse, sondern eröffnet nur ein Issue in einem öffentlichen Repo der Organisation und wartet.
Das Wichtigste in Kürze
- GitLost bringt den Workflow-Agenten dazu, private README-Inhalte als öffentlichen Kommentar zu posten.
- Kein Login und keine Rechte nötig: ein öffentliches Issue in der Organisation reicht.
- Das vorangestellte Wort „Additionally“ hat GitHubs eingebauten Schutz ausgehebelt.
- Die eigentliche Wurzel ist ein Konfigurationsmuster, das viele Agenten-Setups teilen.
Wie bringt ein Issue den Agenten zum Reden?

Der Agent reagiert auf die Zuweisung eines Issues, liest dessen Text und befolgt die dort in einfachem Englisch versteckten Anweisungen. Danach holt er README-Dateien aus öffentlichen wie privaten Repos und schreibt deren Inhalt in einen öffentlich sichtbaren Kommentar.
Möglich wird das durch eine Kombination, die der Sicherheitsforscher Simon Willison als „lethal trifecta“ beschrieben hat. Drei Eigenschaften treffen zusammen:
- Der Agent besitzt ein Token mit Leserechten über alle Repos der Organisation, private eingeschlossen.
- Zugleich verarbeitet er ungeprüften Fremdinhalt aus dem Issue.
- Zudem darf er öffentlich sichtbare Kommentare schreiben und damit Daten nach außen tragen.
GitHub hatte eine Schutzsperre eingebaut, doch sie hat überraschend wenig standgehalten. Ein vorangestelltes „Additionally“ hat genügt: Das Modell hat den Schadbefehl als harmlose Folgeaufgabe gewertet und durchgelassen.
Warum das kein Einzelfall ist
Prompt Injection führt die OWASP-Risikoliste für Sprachmodelle an, und GitLost ist nur die jüngste Variante einer ganzen Angriffsklasse. Erst kürzlich hat Zscaler gezeigt, wie manipulierte Webseiten KI-Agenten zur Zahlung verleiten, und OpenAIs Codex ist in die Kritik geraten, weil er sensible .env-Dateien nicht zuverlässig ausschließt. Auch ein Härtetest mit 2.000 Hackern hat demselben Prinzip folgend einen KI-Assistenten vorgeführt.
In der Fachdiskussion wird allerdings eingewandt, dass GitLost weniger ein GitHub-Bug als ein Konfigurationsfehler sei. Ein Agent, dem man private Leserechte gebe und den man auf öffentliche Eingaben loslasse, schaffe sich das Risiko selbst, vergleichbar mit einem CI-Job, der Zugriff auf Secrets hat und trotzdem auf fremde Pull Requests reagiert.
Ein präpariertes öffentliches Issue genügt, um GitHubs Workflow-Agenten zur Preisgabe interner Daten zu bewegen. Die wichtigsten Fakten im Überblick.
Ein Agent mit Zugriff auf private Daten und einem öffentlichen Ausgabekanal ist keine Automatisierung, sondern ein Datenleck mit Zeitplan.
— Markus Seyfferth, Chefredakteur Dr. Web
Was DACH-Unternehmen jetzt tun sollten
Die Lücke ist auch regulatorisch heikel. Enthalten die abgeflossenen Repos personenbezogene Daten, greift die DSGVO-Meldepflicht nach Artikel 33 mit ihrer 72-Stunden-Frist. Der EU AI Act wiederum verlangt in Artikel 15 für Hochrisiko-Systeme nachweisbare Robustheit gegen genau solche Manipulationsversuche, und die Pflichten für diese Systeme greifen ab August 2026.
Im Alltag zählt vor allem die Rechtevergabe. Ein Agent, den öffentliche Ereignisse auslösen können, sollte nie ein Token mit organisationsweiten privaten Leserechten tragen. Ungeprüfte Fremdeingaben gehören strikt vom Anweisungskontext getrennt, und die Fähigkeit, öffentlich zu posten, wird auf das Nötigste beschränkt.
Am besten behandeln Unternehmen ihre Agenten wie einen neuen Mitarbeiter mit unklarer Loyalität und modellieren die Bedrohung vorab. Die Cybersecurity-Grundlagen und ein sauberes Threat Model für KMU liefern dafür den Rahmen. Solange GitHub die Lücke nicht bestätigt geschlossen hat, bleibt das Kappen der privaten Leserechte die wirksamste Sofortmaßnahme.
Quelle
[1] Noma Security: „GitLost: How We Tricked GitHub’s AI Agent into Leaking Private Repos“ ↩
Mehr Newshunger?
- Indirekte Prompt Injection: Wie sicher sind KI-Agenten?
- 2.000 Hacker gegen einen KI-Assistenten: Was das Experiment verrät
- Codex liest Ihre .env-Secrets: Wie schützen Sie sich?
- KI-Sicherheit: deptrust hält KI-Agenten vom Slopsquatting ab
- IT-Sicherheit für KMU: Was ein Threat Model ausmacht
- Cybersecurity-Grundlagen 2026: Was KMU jetzt umsetzen müssen