- ▸ Une Issue publique qui vide un dépôt privé
- ▸ GitHub Agentic Workflows : Actions couplé à un agent IA
- ▸ L'injection de prompt indirecte, cause racine
- ▸ La frontière public–privé franchie par l'agent
Un attaquant non authentifié peut siphonner des données confidentielles en publiant une simple Issue publique. Noma Labs a baptisé la méthode GitLost. Elle cible GitHub Agentic Workflows, l’automatisation par agent IA récemment déployée sur la plateforme.
Ce qu’il faut retenir – GitLost permet à un attaquant sans compte d’extraire des données de dépôts privés via une Issue publique. – L’attaque repose sur une injection de prompt indirecte glissée dans du contenu que l’agent IA lit de lui-même. – La cible : GitHub Agentic Workflows, qui couple GitHub Actions à un agent basé sur Claude ou Copilot.
Une Issue publique qui vide un dépôt privé
Noma Labs, l’équipe de recherche de Noma Security, révèle ce 6 juillet 2026 une faille critique dans GitHub Agentic Workflows. Baptisée GitLost, elle laisse un attaquant sans compte ni droit d’accès lire le contenu de dépôts privés.
Le scénario tient en une action : publier une Issue sur un dépôt public appartenant à la même organisation que le dépôt privé visé. L’agent IA lit ce message, exécute les instructions qu’il contient et renvoie les données vers un flux public. Aucune authentification, aucune alerte côté victime, selon Noma Security.
GitHub Agentic Workflows : Actions couplé à un agent IA
GitHub Agentic Workflows repose sur deux briques. La première, GitHub Actions, automatise les tâches d’un dépôt : tests, déploiements, réponses aux Issues. La seconde, un agent IA adossé à Claude ou à Copilot, interprète des consignes rédigées en langage naturel.
Les équipes écrivent ces workflows en Markdown. GitHub les compile ensuite en YAML, le format exécuté par le moteur d’automatisation. L’agent lit alors les Issues, appelle des outils et répond seul, sans validation humaine à chaque étape.
Ce fonctionnement autonome fait la commodité de l’outil. Il fait aussi sa surface d’attaque : tout texte que l’agent ingère devient une instruction potentielle.
L’injection de prompt indirecte, cause racine
GitLost exploite une injection de prompt indirecte, une consigne malveillante cachée dans un contenu que l’agent va lire spontanément — ici, le corps d’une Issue publique.
L’agent ne distingue pas la consigne légitime de l’ordre injecté. Il traite les deux au même niveau. Un attaquant rédige donc une Issue anodine en apparence, porteuse en réalité d’une commande : rassembler des fichiers du dépôt privé, puis les recopier dans un espace accessible publiquement.
Cette classe de faille ne casse aucun chiffrement. Elle détourne la confiance que le système accorde au texte qu’il lit.
La frontière public–privé franchie par l’agent
L’angle qui distingue GitLost d’un bug isolé tient à la frontière franchie. GitHub sépare dépôts publics et privés par des droits d’accès stricts. L’agent, lui, opère à l’échelle de l’organisation entière.
Un message posté côté public devient ainsi un levier côté privé. La faille ne vise pas une ligne de code, mais la logique même de l’automatisation : confier à une IA les clés d’un périmètre plus large que celui de l’utilisateur qui la sollicite.
Pour une organisation qui a activé ces workflows, le dépôt public le plus banal devient une porte d’entrée.
FAQ
En quoi GitLost diffère d’une faille classique ?
GitLost n’exploite pas une erreur de code, mais le comportement de l’agent IA. La faille tient à la confiance accordée au texte lu. Un attaquant n’a besoin d’aucun accès préalable : une Issue publique suffit à déclencher la fuite de données.
Qui est exposé à ce risque ?
Toute organisation ayant activé GitHub Agentic Workflows et hébergeant des dépôts privés aux côtés de dépôts publics. Le lien entre les deux passe par l’agent, qui opère sur l’ensemble du périmètre de l’organisation, sans cloisonnement entre les niveaux de visibilité.
Prochaines étapes
Noma Security a publié le détail technique de l’attaque le 6 juillet 2026. GitHub n’a pas communiqué de correctif public à ce jour. À lire aussi : notre suivi des failles d’agents IA en production.



