Zespół badaczy z Invariant Labs odkrył poważną lukę bezpieczeństwa w protokole GitHub MCP Server, który obsługuje integrację modeli sztucznej inteligencji z zasobami przechowywanymi na platformie. Luka umożliwia dostęp do plików znajdujących się w prywatnych repozytoriach, nawet bez zgody ich właściciela. Co gorsza, Microsoft — właściciel GitHub — jak dotąd nie odniósł się do problemu ani nie ogłosił terminu jego usunięcia.
GitHub, platforma powszechnie wykorzystywana do przechowywania i współdzielenia kodu źródłowego — zarówno przez niezależnych programistów, jak i przez firmy z branży technologicznej — nie gwarantuje obecnie pełnej ochrony danych znajdujących się w zamkniętych repozytoriach. Według raportu opublikowanego przez serwis Dev Class, luka znajduje się w protokole Model Context Protocol (MCP), który służy do przekazywania informacji między repozytoriami a zewnętrznymi modelami AI.
Eksperci wskazują, że źródłem problemu nie jest błędne działanie samego kodu, lecz wadliwa architektura protokołu, która umożliwia ominięcie zabezpieczeń. Scenariusz wykorzystania luki wydaje się być niepokojąco prosty.
Jak działa atak?
Zgodnie z analizą Invariant Labs, wystarczy, że użytkownik posiada zarówno prywatne, jak i publiczne repozytorium. Jeśli w repozytorium publicznym włączona została automatyzacja AI (np. GitHub Copilot z funkcjami Pull Requesta), atakujący może stworzyć zgłoszenie błędu (Issue), w którym zawrze informacje odnoszące się do prywatnego repozytorium — np. opis problemu w kodzie.
Model AI, analizując zgłoszenie, automatycznie generuje Pull Request z rozwiązaniem — w tym przypadku propozycją poprawki — który może zawierać poufne dane z repozytorium prywatnego. Badacze zademonstrowali to na przykładzie fałszywego zgłoszenia dotyczącego braku nazwiska autora w pliku README. Wygenerowana przez AI propozycja zawierała nie tylko nazwisko, ale i pełną listę repozytoriów prywatnych użytkownika.
GitHub milczy. Microsoft nie komentuje
Mimo powagi sytuacji i jasnych dowodów przedstawionych przez Invariant Labs, Microsoft do tej pory nie skomentował odkrycia. Nie wiadomo, ilu użytkowników mogło zostać dotkniętych luką, ani kiedy można spodziewać się aktualizacji bezpieczeństwa.
Niepokój budzi także ryzyko eskalacji — mając nazwę prywatnego repozytorium, osoba atakująca może prowadzić kolejne, celowane zgłoszenia, które stopniowo ujawniają zawartość kodu, dokumentacji i innych zasobów.
Problem systemowy, nie przypadek
Eksperci podkreślają, że problematyczne są ustawienia domyślne GitHub, które pozwalają użytkownikom wybierać opcje ułatwiające pracę z AI, takie jak „zawsze zezwalaj” na działanie agenta. W praktyce oznacza to brak odpowiedniej kontroli nad tym, do czego model AI ma dostęp — i co może wyciągnąć z prywatnych repozytoriów, nawet nieświadomie.
To kolejny dowód na to, że rozwój funkcji opartych na AI musi iść w parze z rygorystycznym bezpieczeństwem, szczególnie w kontekście poufnych danych programistycznych. Zautomatyzowane systemy sztucznej inteligencji, nawet jeśli mają ułatwiać codzienną pracę, mogą w nieodpowiednich warunkach stać się narzędziem wycieku danych.
Pokaż / Dodaj komentarze do: Z GitHub wyciekają prywatne repozytoria. Wszystko przez AI