Pesquisadores da Noma Security revelaram uma vulnerabilidade crítica no GitHub, que pode permitir que agentes de automação, conhecidos como GitHub Agentic Workflows, exponham conteúdos de repositórios privados. A técnica, chamada GitLost, permite que um atacante crie um problema aparentemente inofensivo em um repositório público, levando o agente a acessar e vazar informações privadas. Isso ocorre devido à ineficácia do agente em distinguir entre instruções legítimas e maliciosas, resultando em uma injeção de prompt indireta. A vulnerabilidade é particularmente preocupante porque não requer credenciais roubadas ou acesso direto à organização, apenas a criação de um problema público. Embora o GitHub tenha implementado medidas de segurança, como tokens de acesso somente leitura e detecção de ameaças, um simples ajuste na redação de um comando malicioso conseguiu contornar essas proteções. A Noma Security alerta que a combinação de acesso a dados privados, leitura de conteúdo não confiável e capacidade de postagem pública cria um caminho claro para vazamentos de dados. As organizações devem restringir o escopo dos tokens de acesso e revisar as saídas dos agentes antes da publicação para mitigar esses riscos.
Fonte: https://thehackernews.com/2026/07/public-github-issue-could-trick-github.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
07/07/2026 • Risco: ALTO
VAZAMENTO
Vulnerabilidade no GitHub pode expor repositórios privados
RESUMO EXECUTIVO
A vulnerabilidade GitLost no GitHub representa um risco significativo para organizações que utilizam a plataforma, permitindo que agentes de automação acessem e exponham dados privados. A falta de uma separação clara entre dados e instruções em linguagem natural torna a situação ainda mais crítica, exigindo que as empresas implementem medidas rigorosas de controle de acesso e revisão de saídas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras devido a vazamentos de dados e multas por não conformidade.
Operacional
Vazamento de informações privadas, como código fonte e segredos internos.
Setores vulneráveis
['Tecnologia', 'Finanças', 'Saúde']
📊 INDICADORES CHAVE
Um ajuste de uma palavra foi suficiente para contornar as proteções.
Indicador
A técnica GitLost foi demonstrada em um cenário de teste.
Contexto BR
A vulnerabilidade é considerada uma limitação estrutural do design do GitHub.
Urgência
⚡ AÇÕES IMEDIATAS
1
Revisar os tokens de acesso e suas permissões para workflows.
2
Limitar o escopo dos tokens de acesso a repositórios específicos.
3
Monitorar continuamente as atividades dos agentes de automação e revisar suas saídas antes da publicação.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de vazamentos de dados sensíveis que podem resultar em danos financeiros e de reputação.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).