GitLost: a falha do GitHub que expõe empresas sem uso de malware

GitLost: a falha do GitHub que expõe empresas sem uso de malware

Uma falha de segurança em um sistema de inteligência artificial do GitHub permite roubar códigos, senhas e informações corporativas de maneira fácil. A descoberta foi feita pela agência de segurança Noma Security, que apelidou a brecha de GitLost. A companhia já foi avisada e diz ter atualizado a documentação de sua tecnologia.

Para entender essa falha, é preciso de um pouco de contexto. O GitHub possui uma tecnologia chamada Agentic Workflows, que basicamente combina automação de tarefas da plataforma com assistentes de IA, como o Copilot. A ideia dessa tecnologia é facilitar a vida de desenvolvedores ao gerenciar seus projetos com uma linguagem natural.

O problema é que havia uma falha no meio do caminho. Os pesquisadores entenderam que essa ferramenta possui permissões amplas demais em seu sistema. Isso significa que se um usuário escrever um comando com algumas palavras específicas, esse Workflow vai abrir as portas para um grande vazamento de informações.

Screenshot-2026-07-06-at-17.59.48-1024x543.png
Comando de textos pode ser curto, mas desde que contenha as palavras-chave, consegue enganar a IA (Imagem: Noma/reprodução)

A razão pela qual o GitLost é perigoso é que essa brecha não exige conhecimento técnico por parte do atacante. Basta escrever bem em inglês que a IA vai aceitar o comando. Esse tipo de ataque também funciona de maneira silenciosa, sem que nenhum alarme seja disparado. No fim, códigos importantes e dados de empresas podem vazar.

Como a brecha funciona?

A brecha do GitLost é explorada por meio de uma técnica chamada injeção de prompt, que basicamente é criar um comando com instruções nocivas em um texto comum. É como se alguém escrevesse uma carta para um parente distante, mas o conteúdo nas entrelinhas tem um significado diferente e é, na verdade, uma sequência de instruções para uma missão secreta - típico do cinema hollywoodiano.

Na prática, o invasor cria um chamado público, parecendo ser uma dúvida inofensiva de um cliente ou funcionário. No entanto, o texto contém comandos ocultos dizendo para a IA ignorar suas regras originais, acessar os repositórios privados da empresa e copiar informações sigilosas.

A facilidade com isso acontece é que impressiona. Os pesquisadores da Noma perceberam que as barreiras de proteção criadas pelo GitHub foram facilmente derrubadas. Inclusive, descobriram que adicionar a palavra Additionally (Adicionalmente) ao comando faz com que o sistema se confunda e entregue dados privados facilmente.

Ordem de ataque à IA do GitHub (Imagem: Noma/reprodução)

Um dos especialistas da Noma, Sasi Levi, compara esse tipo de ataque com o famoso SQL Injection, que segue a mesma premissa e foi um pesadelo na década passada. Falhas assim demonstram que há um problema estrutural nessas tecnologias. Qualquer pessoa mal-intencionada pode explorar essa vulnerabilidade sem criar softwares maliciosos.

A Noma diz ter contatado o GitHub para explicar sobre a falha, mas não recebeu retorno sobre se a brecha foi corrigida. Em contrapartida, o GitHub indicou à companhia que atualizou a documentação que criou essa vulnerabilidade.

Como se proteger?

Como essa falha não atinge um usuário em especial, a recomendação da Noma é voltada para empresas. A recomendação é que as IAs tenham restrições e acesso somente à pasta em que estão trabalhando. Permissões globais permitem essas IAs navegarem por múltiplos repositórios e podem resultar em vazamentos de dados.

Alterações nas automações desses modelos de linguagem também são importantes para garantir que as IAs nunca tratem o texto escrito por usuários comuns como instruções de sistema.

Inclusive, outro tipo de ataque invisível tem sido utilizado para enganar professores universitários e roubar dados acadêmicos em uma grande campanha nos EUA e Canadá. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.