Fin juin 2026, GitHub lançait les Agentic Workflows, une fonctionnalité qui associe GitHub Actions (le système d’automatisation historique de la plateforme) à un agent IA reposant sur Claude ou GitHub Copilot. L’objectif ? Permettre aux équipes de décrire leurs automatisations en langage naturel plutôt qu’en code, l’agent se chargeant de lire les tickets, d’appeler des outils et de répondre de façon autonome.
C’est précisément ce nouvel outil qu’ont décidé de tester les chercheurs de Noma Security. Le résultat ? La découverte d’une vulnérabilité baptisée GitLost, rendue publique le 6 juillet 2026.
Le mécanisme d’attaque repose sur l’injection de prompt indirecte : une technique qui consiste à dissimuler des instructions dans un contenu que l’agent va lire, en l’occurrence un ticket, un commentaire, un fichier, en espérant que celui-ci les exécute comme s’il s’agissait d’ordres légitimes.
« En trompant le modèle, j’ai ainsi pu démontrer que les garde-fous de GitHub ne fonctionnaient pas comme prévu et n’ont pas empêché la fuite de données », résume Sasi Levi, à la tête du travail de recherche.
Comment fonctionne l’attaque
Le scénario décrit dans l’article de blog ne demande ni compétence technique, ni accès, ni identifiants. Il suffit d’ouvrir un ticket dans un dépôt public appartenant à une organisation utilisant les Agentic Workflows.
Le workflow automatique visé par Noma se déclenchait à l’assignation d’un ticket : l’agent lisait le titre et le corps du message, puis répondait par un commentaire public, le tout avec un accès en lecture à l’ensemble des dépôts de l’organisation, publics comme privés.

Problème : une fois le ticket assigné, l’agent est allé chercher le contenu du fichier README.md d’un dépôt privé, puis l’a recopié dans un commentaire visible par n’importe qui sur le ticket public.
Les chercheurs indiquent également avoir contourné certains garde-fous mis en place par GitHub en ajoutant simplement le mot « Additionally » à leurs instructions, ce qui suffisait à faire reformuler la réponse plutôt que la bloquer.
Une réponse encore floue de GitHub
Noma affirme avoir signalé la faille à GitHub de façon responsable, qui n’a pour l’heure pas réagi publiquement à ce travail de recherche.
Cette affaire résonne avec un constat que Microsoft a lui-même fini par admettre. Dans un billet de blog publié par son centre de réponse à la sécurité en juillet 2025, l’entreprise reconnaissait que l’injection de prompt indirecte n’est pas un simple bug à corriger, mais un risque structurel, lié à la nature même des modèles de langage probabilistes, et qu’aucune méthode de détection totalement fiable n’existe à ce jour.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Un édito exclusif, un guide, une reco de lecture et l’agenda de la rédaction : c’est ce que vous trouverez tous les jeudis dans ToujoursPlus, la newsletter tech écrite par Julien Cadot. Inscrivez-vous gratuitement ici !












