Private code van miljoenen organisaties toegankelijk door GitHub-lek

Het lek is ontdekt door Wiz Research met behulp van Claude Code. De kwetsbaarheid (CVE-2026-3854) is een bug voor het uitvoeren van code op afstand die met één enkel commando volledige lees- en schrijftoegang had kunnen verlenen tot privé-repositories op GitHub.com. Misbruik hiervan zou de codebases van bijna alle grootste ondernemingen ter wereld bloot kunnen leggen, waardoor dit een van de ernstigste SaaS-kwetsbaarheden is die ooit is gevonden. GitHub Enterprise Server is ook getroffen en vereist een onmiddellijke upgrade.

Binnen 48 uur van idee naar werkende exploit

Wiz Research had al bijna twee jaar naar de interne binaire bestanden van GitHub gekeken, maar het reverse-engineeringwerk was te intensief om prioriteit te geven. Met behulp van Claude Code ging Wiz binnen 48 uur van idee naar werkende exploit.

Vóór AI zou dit maanden van handmatige analyse en aanzienlijke expertise hebben gekost. Wiz spreekt van een nieuw tijdperk in waarin duizenden verborgen kwetsbaarheden in gesloten systemen bijna van de ene op de andere dag kunnen worden blootgelegd door kant-en-klare AI-tools. Software die voorheen door onduidelijkheid werd beschermd is nu veel gemakkelijker te analyseren, zowel voor verdedigers als voor aanvallers.

Alexis Wales, CISO van GitHub: “GitHub waardeert de samenwerking, professionaliteit en het partnerschap dat Wiz gedurende dit hele proces heeft getoond enorm. Een bevinding van dit kaliber en deze ernst is zeldzaam, wat een van de hoogste beloningen in ons Bug Bounty-programma oplevert, en herinnert ons eraan dat het meest impactvolle beveiligingsonderzoek afkomstig is van bekwame onderzoekers die weten hoe ze de juiste vragen moeten stellen. Naarmate het landschap evolueert, zijn deze nauwe partnerschappen met getalenteerde jagers en onderzoekers belangrijker dan ooit.”