
Les agents IA de GitHub peuvent faire fuiter un dépôt privé via une injection de prompt
Des chercheurs en sécurité de l'entreprise Noma ont démontré une faille baptisée GitLost dans les GitHub Agentic Workflows, la fonctionnalité d'agents IA de GitHub lancée en préversion publique le 11 juin dernier. En se faisant passer pour un vice-président des ventes, les chercheurs ont ouvert un simple ticket de rapport d'erreur sur un dépôt public, glissant au milieu du message une question anodine en apparence sur le contenu du fichier README de deux dépôts privés de la même organisation, nommés « poc » et « testlocal ». Dès que le ticket a été attribué à l'agent IA, celui-ci a récupéré le contenu de ces fichiers privés et l'a recopié directement dans sa réponse publique au ticket, rendant ainsi accessible à tous une information censée rester confidentielle. Selon Noma, c'est l'ajout d'un simple mot de transition, « Additionally », qui a suffi à faire basculer l'agent d'une tâche légitime vers l'exécution de la requête malveillante cachée dans le message.
Cette découverte fragilise un peu plus la confiance des développeurs envers GitHub, qui avait pourtant présenté ses agents comme fortement sécurisés. Lancée en février dernier et utilisable avec Copilot CLI, Claude Code ou OpenAI Codex au choix, la fonctionnalité permet d'automatiser la gestion de documentation, de tickets de bugs ou de tests via les GitHub Actions. L'entreprise assurait disposer de plusieurs niveaux de protection : permissions en lecture seule par défaut, exécution en conteneur sandbox derrière un « Agent Workflow Firewall », filtre d'intégrité, validation des résultats et détection automatique des menaces sur toute modification proposée. La démonstration de Noma montre que ces garde-fous peuvent être contournés par une injection de prompt relativement simple, sans exploiter de faille technique complexe, ce qui pose un problème direct pour toute organisation ayant activé ces agents sur des dépôts mêlant contenus publics et privés.
L'épisode illustre ce que l'ingénieur Simon Willison appelle le « trio mortel » des agents IA : l'accès à des données confidentielles, le traitement de contenus non fiables provenant de tiers, et la capacité à faire sortir de l'information vers l'extérieur. Dès lors que ces trois conditions sont réunies, comme c'est le cas avec un agent capable de lire des dépôts privés tout en traitant des tickets ouverts par n'importe quel utilisateur externe, l'injection de prompt devient une voie d'attaque quasiment inévitable. GitHub n'a pas encore communiqué publiquement de correctif spécifique face à cette démonstration, alors que l'adoption des agents IA dans la gestion de code se généralise chez de nombreuses entreprises.
Les organisations europeennes utilisant les GitHub Agentic Workflows sur des depots melangeant contenus publics et prives sont exposees au meme risque de fuite de donnees confidentielles via injection de prompt.
Le détail qui tue : un simple mot, « Additionally », glissé dans un ticket public, a suffi à faire cracher à l'agent le contenu de deux dépôts privés. GitHub vendait ses gardes-fous comme du béton armé (sandbox, firewall, permissions en lecture seule) et ça n'a pas tenu deux minutes face à une injection de prompt basique. Dès qu'un agent IA cumule accès aux données privées, lecture de contenus venant d'inconnus et capacité à publier une réponse, la fuite n'est plus une hypothèse, c'est une question de temps.
Dans nos dossiers
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.



