وقتی در فوریه ۲۰۲۶ گیتهاب قابلیت جدید GitHub Agentic Workflows را معرفی کرد، قول داد که توسعهدهندگان دیگر نیازی به نوشتن اسکریپتهای پیچیده اتوماسیون ندارند. اما کشف آسیبپذیری GitLost نشان داد که این ایجنتهای هوشمند چقدر میتوانند خطرناک باشند.
داستان یک کشف امنیتی که گیتهاب را تکان داد وقتی در فوریه ۲۰۲۶ گیتهاب قابلیت جدید GitHub Agentic Workflows را به صورت عمومی معرفی کرد، قول داد که توسعهدهندگان دیگر نیازی به نوشتن اسکریپتهای پیچیده اتوماسیون
ندارند. به جای آن، کافی است دستورات خود را به زبان ساده انگلیسی در یک فایل Markdown بنویسند و یک ایجنت هوش مصنوعی (مبتنی بر Claude یا GitHub Copilot) تمام کارها را انجام دهد. این ایجنت میتواند Issueها
را بخواند، ابزارهای مختلف را فراخوانی کند، و حتی به صورت خودکار پاسخ دهد. اما Sasi Levi، محقق امنیتی Noma Labs، اولین سوالی که به ذهنش رسید این بود: چه اتفاقی میافتد اگر این ایجنت هوش مصنوعی چیزی را بخواند
که نباید به آن اعتماد کند؟ جواب این سوال، کشف آسیبپذیری GitLost بود که به یکی از مهمترین نگرانیهای امنیتی در دنیای هوش مصنوعی Agentic تبدیل شد. این کشف در هفتم جولای ۲۰۲۶ به صورت مسئولانه به گیتهاب
گزارش شد و به سرعت توسط رسانههای امنیتی معتبر از جمله The Hacker News، SecurityWeek، Dark Reading و CSO Online پوشش داده شد. [IMAGE_PLACEHOLDER_1] GitHub Agentic Workflows چیست و چگونه کار میکند؟ برای
درک این آسیبپذیری، باید ابتدا بدانیم که GitHub Agentic Workflows چیست. این قابلیت جدید گیتهاب به تیمها اجازه میدهد تا تعاملات خود با ریپازیتوریهای کد را با استفاده از زبان طبیعی خودکار کنند. به جای
نوشتن اسکریپتهای YAML پیچیده، شما فقط یک فایل Markdown مینویسید که توضیح میدهد ایجنت هوش مصنوعی باید چه کارهایی انجام دهد. این workflowها توسط یک ایجنت هوش مصنوعی که با Claude یا GitHub Copilot کار
میکند، اجرا میشوند. این ایجنت میتواند: Issueها و Pull Requestها را بخواند ابزارهای مختلف را فراخوانی کند به ریپازیتوریهای دیگر در سازمان دسترسی داشته باشد به صورت خودکار کامنت بگذارد مشکل اینجاست:
ادامه مطلب در سایت