GitHub MCP Exploited: Accessing private repositories via MCP

We showcase a critical vulnerability with the official GitHub MCP server, allowing attackers to access private repository data. The vulnerability is among the first discovered by Invariant's security analyzer for detecting toxic agent flows. Invariant has discovered a critical vulnerability affecting the widely-used GitHub MCP integration (14k stars on GitHub). The vulnerability allows an attacker

[rokuokun]

Agent に自走させて Issue 対応させているとお漏らししちゃうみたいな話っぽい

[tmatsuu]

oh

[kiririmode]

GitHub MCP Serverの脆弱性。issueに悪意のあるプロンプトを仕込むことでagentを誤解させ、個人情報やsecretを漏洩させられる。auto-approve していると防げない。

[misshiki]

“GitHub公式MCPサーバーに重大な脆弱性が存在することをお知らせします。この脆弱性により、攻撃者はプライベートリポジトリのデータにアクセスできるようになります。”

[sugyan]

ローカルでだけ動かすから全権限あっても問題ない、と思いきやissue処理としてprivate情報をpull-reqなどで晒しちゃう可能性もあるからね、って話か

[ed_v3]

privateレポジトリにアクセスできるMCPサーバに自分/自組織以外がアクセスできるようにするなって話だから当たり前の話に思えるけど読み間違いかな。

[ledsun]

エージェントに悪意あるプロンプトを含んだissueを読ませて、非公開情報をpublicリポジトリに書かせようとするらしい。