gik|iewicz

szukaj
Temat: GitHub

GitLost: Jak oszukać agenta AI od GitHuba i wyciec prywatne repozytoria

Firma Noma Labs udostępniła szczegóły podatności o nazwie GitLost, która pozwala na wyciek prywatnych repozytoriów przez publiczne zgłoszenia w GitHubie. Atak wykorzystuje agenta AI GitHub Copilot, który bez weryfikacji wykonuje ukryte instrukcje. Atakujący nie potrzebuje do tego żadnych specjalnych uprawnień. TL;DR: Badacze z Noma Labs udokumentowali lukę GitLost w agentach GitHub Agentic Workflows. Wystarczy jeden […]

Anonimowe konto na GitHubie masowo wycieka 0-day

Anonimowe konto na platformie GitHub rozpoczęło masową publikację exploitów typu 0-day, twierdząc, że są to wcześniej nieznane luki w popularnych projektach. Twórca repozytorium wprost zachęca czytelników do zgłaszania tych podatności oraz przejmowania autorstwa dla przyznawanych identyfikatorów CVE. To zupełnie odwraca tradycyjne zasady odpowiedzialnego ujawniania błędów. TL;DR: Nieznany użytkownik GitHub publikuje dowody konceptualne (PoC) nieznanych luk, […]

10 tysięcy repozytoriów na GitHubie rozsiewa trojany

Badacze z Orchid Files zidentyfikowali dokładnie 10 000 zainfekowanych repozytoriów na platformie GitHub, które rozsiewają trojany. Wszystkie te projekty pochodzą od różnych autorów, mają unikalne nazwy i nie są forkami innych gałęzi. Co więcej, dzielą jeden wspólny wzorzec strukturalny, co pozwoliło na ich automatyczne wykrycie. TL;DR: Badacze z Orchid Files odkryli 10 000 repozytoriów na […]

Kryzys agentów AI na GitHub: awarie SLA zmuszają Microsoft do AWS

Microsoft zgłosił ponad 140 tysięcy incydentów związanych z agentami AI na platformie GitHub w ciągu ostatnich dwunastu miesięcy. Awarie infrastruktury powiązanej z narzędziami autonomicznymi zaczęły regularnie łamać umowy SLA, zmuszając firmę do korzystania z usług AWS jako alternatywnego środowiska obliczeniowego. Skala problemu narasta. TL;DR: Kryzys agentów AI na GitHub uwydatnił skalę problemów z niezawodnością infrastruktury […]

Zhakowano narzędzia Microsoftu. Hakerzy kradną hasła programistów AI

Microsoft usunął ponad 70 otwartych repozytoriów z GitHub po wykryciu złośliwego kodu kradnącego hasła programistów AI. Atak objął projekty powiązane z platformą Azure oraz narzędziami do automatyzacji zadań programistycznych. TL;DR: Microsoft wyłączył co najmniej 70 otwartych repozytoriów na GitHub po wykryciu złośliwego oprogramowania celującego w deweloperów AI. Hakerzy wprowadzili malware do projektów powiązanych z Azure, […]

Luka w GitHub Claude Code pozwala kraść tokeny CI/CD

Microsoft zidentyfikował lukę bezpieczeństwa w akcji GitHub Claude Code, która pozwala atakującym na kradzież poświadczeń CI/CD. Badacze wykazali, że ataki typu prompt injection mogą manipulować agentami AI kodującymi, uzyskując dostęp do wrażliwych tokenów przechowywanych w potokach programistycznych. TL;DR: Microsoft opublikował raport ujawniający lukę w akcji GitHub Claude Code. Atakujący mogą wykorzystać prompt injection do manipulowania […]

Kradzież tokena GitHub jednym kliknięciem przez błąd w VSCode

Jak działa atak 1-click na tokeny GitHub w VSCode? Podatność w implementacji webview Visual Studio Code pozwala atakującym na kradzież tokenów OAuth GitHub poprzez nakłonienie ofiary do kliknięcia jednego złośliwego linku. Luka tkwi w mechanizmie obsługi URI w komponencie webview edytora Microsoftu. Atakujący może spreparować adres URL, który po otwarciu w przeglądarce uruchomi lokalną instancję […]

GitHub zbanował badacza za ujawnienie exploitów zero-day Windows

GitHub zbanował anonimowego badacza bezpieczeństwa znanego jako Nightmare-Eclipse po tym, jak ten publicznie opublikował 6 exploitów zero-day dla systemu Windows. Trzy z nich znajdowały się pod aktywnym wykorzystywaniem przez cyberprzestępców, zanim Microsoft zdążył wydać łatki. Platforma należąca do Microsoftu usunęła konto badacza, co wywołało burzliwą debatę o etyce ujawniania podatności. TL;DR: Nightmare-Eclipse opublikował 6 exploitów […]

Jak GitHub zabezpiecza systemy agentowe: 3 kluczowe fakty

GitHub opublikował szczegółową architekturę bezpieczeństwa dla agentowych przepływów pracy w systemach CI/CD. Firma przedstawiła podejście „defense-in-depth”, które ma chronić przed atakami typu prompt injection, eskalacją uprawnień i nieautoryzowanym dostępem do zasobów pipeline’ów. TL;DR: GitHub zaprezentował architekturę bezpieczeństwa dla agentowych workflow w CI/CD, opartą na izolacji, ograniczonym wykonywaniu zadań i audytowalności. Rozwiązanie chroni przed prompt injection, […]

Krytyczna luka RCE na GitHubie: Analiza CVE-2026-3854

TL;DR: CVE-2026-3854 to krytyczna podatność RCE (CVSS 8.7) w infrastrukturze serwerowej GitHub, pozwalająca uwierzytelnionemu użytkownikowi na zdalne wykonanie kodu przez zwykłe git push. Luka dotyczyła GitHub.com oraz GitHub Enterprise Server (GHES), stwarzając ryzyko dostępu do milionów prywatnych repozytoriów. Zespół Wiz odkrył wektor ataku oparty na wstrzyknięciu komend powłoki podczas obsługi żądań git. Czym jest CVE-2026-3854 […]

Ghostty opuszcza GitHub: co to oznacza dla użytkowników

Mitchell Hashimoto, użytkownik GitHub #1299, dołączył do platformy w lutym 2008 roku. Po 18 latach współtwórca HashiCorp przenosi projekt Ghostty gdzie indziej. Powód? Chroniczne awarie, które uniemożliwiają normalną pracę. TL;DR: Mitchell Hashimoto przenosi terminal Ghostty z GitHub po 18 latach korzystania z platformy. W kwietniu 2026 złych dni było więcej niż dobrych. GitHub stał się […]