Agenci AI zintegrowani z GitHub mogą być przejęci przez prompt injection w komentarzach do pull requestów. Eksfiltracja kluczy API, tokenów GitHub i innych sekretów ze środowiska Actions. Anthropic, Google i Microsoft odebrały bounty, ale żaden nie wydał CVE ani ostrzeżenia.

Malware infekuje repozytoria Pythona na GitHubie przez force-push, fałszując historię commitów tak, że wyglądają jak autentyczne. Zamiast klasycznego serwera C2 używa blockchaina Solana, przez co blokowanie infrastruktury jest praktycznie niemożliwe. Zainfekowanych ok. 200 repozytoriów.

Copilot po cichu modyfikował treść cudzych pull requestów, wstawiając identyczne reklamy Raycast w ponad 11 400 miejscach bez wiedzy autorów. Deweloperzy byli wściekli. GitHub wycofał funkcję po kilku godzinach, przyznając, że to był błąd w ocenie.

System wizyt UMŁ (Urzędu Miasta Łodzi) jest tragiczny, zrobiłem nowy na rok 2026, który jest open-source. AMA.

Orca Security odkrylo, ze ukryte instrukcje w komentarzach HTML w opisie issue na GitHubie moga przejac repozytorium przez Copilota. Atak wyciaga tokeny autoryzacyjne przez symlinki i automatyczne pobieranie schematow JSON.

Atakujący wpisał prompt injection w tytuł GitHub Issue. AI triage bot wykonał ukryte instrukcje, zatruwając cache GitHub Actions, kradnąc tokeny NPM i publikując złośliwą wersję Cline. 4000 deweloperów dostało agenta AI z pełnym dostępem do systemu - bez ich zgody.

Server Survival to prosta graficznie gra symulacyjna 3D w przeglądarce na github, w której można wcielić się w architekta chmury. Zadaniem jest zbudowanie i skalowanie odpornej infrastruktury chmurowej, aby obsłużyć rosnące obciążenie ruchem. Zdarzają się awarie, ataki DDoS i trzeba dbać o budżet.

Gentoo rozważa obecnie i planuje migrację naszych kopii repozytoriów oraz pull requestów do Codeberg. Codeberg to strona oparta na Forgejo, utrzymywana przez organizację non-profit z siedzibą w Berlinie w Niemczech.