Security firm Noma Labs discovered a prompt injection vulnerability in GitHub's Agentic Workflows, dubbed GitLost. By embedding plain-English instructions in a public repository issue, an attacker can trick the AI agent (backed by Claude or GitHub Copilot) into reading private repositories and posting their contents publicly. No coding skills or credentials are required. A single word like 'Additionally' was enough to bypass GitHub's guardrails. There is no code-level fix for prompt injection, and GitHub has not responded or added documentation warnings. Researchers compare the flaw to SQL injection — a systemic class of vulnerability rather than a one-off bug — highlighting the broader risk of agentic AI systems silently exfiltrating secrets.
Nguồn: https://thenextweb.com/news/gitlost-github-ai-agent-leaks-private-repos. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Các nhà nghiên cứu phát hiện lỗ hổng tấn công "HalluSquatting" dựa trên kỹ thuật prompt injection, lợi dụng khả năng "ảo giác" (hallucination) của các mô hình ngôn ngữ lớn (LLMs) trong trợ lý lập trình AI để lây nhiễm hàng loạt máy thông qua các gói giả mạo. Chín công cụ lập trình AI phổ biến, bao gồm Cursor, Gemini CLI, GitHub Copilot, đang bị khai thác để xây dựng botnet quy mô lớn.
Lập trình viên nên đọc bài này để hiểu cách bảo mật mã nguồn của mình chống lại những cuộc tấn công mới như HalluSquatting, có thể lây lan rộng rãi qua các công cụ AI hỗ trợ lập trình mà họ đang sử dụng hàng ngày.
GitHub's AI agent có lỗ hổng bảo mật 'GitLost' cho phép rò rỉ dữ liệu private repository khi được yêu cầu theo cách nhất định, hiện chưa có bản vá hay tài liệu chính thức từ GitHub.
Lập trình viên nên đọc bài này để hiểu về nguy cơ bảo mật mới trong GitHub, đặc biệt khi làm việc với các dự án riêng tư, và cách phòng tránh rủi ro khi sử dụng công cụ AI tích hợp trong hệ thống.
GitHub triển khai tính năng public monitoring cho Secret Scanning, giám sát toàn bộ bề mặt công khai của github.com (bao gồm nội dung git, pull request, issues) để phát hiện các bí mật doanh nghiệp bị rò rỉ theo thời gian thực, nhưng vẫn tồn tại những hạn chế như không phát hiện được bí mật bị đánh cắp tới hạ tầng kiểm soát của kẻ tấn công, không quét logs workflow, và chỉ phát hiện sau khi xảy ra sự cố. Doanh nghiệp nên kết hợp tính năng này với các biện pháp kiểm soát egress runtime (như Harden-Runner) để ngăn chặn rò rỉ bí mật ngay từ lớp mạng.
Lập trình viên nên đọc bài này để hiểu cách bảo mật các mã nguồn công khai trên GitHub bị lộ thông qua các công cụ mới và hạn chế của chúng, giúp họ xây dựng chiến lược phòng thủ đa lớp (layered defense) hiệu quả hơn.
Trong một thử nghiệm A/B kéo dài hai tuần, nhóm VS Code và OpenAI đã tinh chỉnh prompt hệ thống của GPT-5.5 bằng cách chia thành các phần "trước/sau chỉnh sửa đầu tiên" (Treatment B), thay vì chỉ thêm lời nhắc tiết kiệm (Treatment A). Kết quả cho thấy Treatment B giảm 8,54% số lần gọi tool, 7,64% lượng token ở mức p95, tăng tốc 5,68% thời gian chỉnh sửa đầu tiên và 9,30% độ trễ p95, trong khi vẫn duy trì tỷ lệ sống sót code ổn định. Hiện nay, Treatment B đã trở thành prompt hệ thống mặc định của GPT-5.5 trong VS Code, và nhóm dự định tiếp tục tối ưu hóa tương tự cho các mô hình và cấu hình khác.
Là lập trình viên muốn tối ưu hiệu suất và chi phí khi sử dụng AI hỗ trợ phát triển, bài viết này giúp bạn hiểu cách cải thiện hiệu quả của các hệ thống AI thông qua prompt tuning để giảm thiểu chi phí tính toán và tăng tốc độ làm việc.
GitHub Models sẽ ngừng hoạt động hoàn toàn vào ngày 30/7/2026, bao gồm playground, model …
Zscaler phát hiện 26 LLMs, bao gồm Llama và Gemini, dễ bị tấn công IPI (indirect prompt injection) khi các tác nhân AI tự động mắc bẫy từ nội dung web độc hại mà con người dễ nhận ra. Bốn mô hình bị xếp vào nhóm dễ bị tấn công, trong khi ba mô hình an toàn, do kiến trúc transformer không thể tách biệt nội dung web không tin cậy khỏi hướng dẫn tin cậy. Nguy cơ lớn nhất nằm ở các quy trình doanh nghiệp tự động hóa, như thanh toán hay mua sắm, nơi tấn công có thể gây thiệt hại tài chính nghiêm trọng.
Lập trình viên cần đọc bài này để hiểu cách bảo mật AI hiện nay bị lỗ hổng trong việc phân biệt nội dung web không đáng tin cậy với các lệnh thực thi, đặc biệt khi các mô hình lớn như Llama và Gemini dễ bị tấn công trong môi trường doanh nghiệp, đòi hỏi kiến thức về các rủi ro mới trong hệ sinh thái AI.
Ba công ty Cursor, GitLab và Zed đều nhận thấy GitHub đang gặp khó khăn trước khối lượng code do AI tạo ra, nhưng họ đề xuất các giải pháp khác nhau để tái xây dựng nền tảng này. Cursor giới thiệu Origin, tương thích Git nhưng tối ưu cho workload của agent; GitLab phát triển Project Switch với backend cải tiến nhằm tăng tốc độ xử lý lên 50 lần; còn Zed thay thế hoàn toàn mô hình commit bằng DeltaDB, theo dõi các thay đổi liên tục.
Những công cụ mới như Cursor, GitLab và Zed đang thay đổi cơ sở hạ tầng mã nguồn để phù hợp với thế giới AI, giúp lập trình viên hiểu cách tối ưu hóa hiệu suất, giảm chi phí và tương tác hiệu quả hơn với các công cụ tương tác tự động trong tương lai.
Một giám đốc cấp cao tại GitHub chia sẻ cách cô ấy xây dựng 40 quy trình tự động hóa bằng ứng dụng GitHub Copilot trên desktop để quản lý khối lượng công việc vô hình của vai trò lãnh đạo cấp cao. Những tự động hóa này kết nối với lịch, email, Slack và kho lưu trữ GitHub thông qua tích hợp MCP để xử lý chuẩn bị họp, sàng lọc hàng ngày, theo dõi triển khai, phát hiện PR cũ và nhật ký sự nghiệp. Cô coi tự động hóa như một công cụ hỗ trợ khả năng tiếp cận cho người mắc AuDHD, thu hẹp khoảng cách giữa những ngày có chức năng điều hành tốt và kém.
Lập trình viên nên đọc bài này để hiểu cách áp dụng tự động hóa công cụ AI như Copilot không chỉ tiết kiệm thời gian mà còn nâng cao hiệu quả làm việc và quản lý dự án thông qua cách tiếp cận thiết thực, từ nhỏ đến lớn.