Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
The Hacker News · 1T SIDEN · sikkerhet

SkillCloak sniker ondsinnede agent-skills forbi skannere i over 90 % av tilfellene

SYNOPSIS_GENERERT

En ny studie viser at åtte skannere for KI-agent-skills kan lures i over 90 % av tilfellene, mens forskernes egen runtime-sjekk fanger 97 % ved å se på hva skillen faktisk gjør.

Over 90 % av forsøkene slapp forbi hver av åtte skannere som skal fange ondsinnede «skills» for KI-kodeagenter, ifølge en fersk studie fra forskere ved Hong Kong University of Science and Technology. Skills er små pakker, en Markdown-fil med instruksjoner pluss noen skript, som agenter som Claude Code, OpenAI Codex og OpenClaw laster for å få ny funksjonalitet. De kjører med agentens egne rettigheter: filene dine, terminalen din, lagrede passord. En ondsinnet skill kan stjele legitimasjon, kopiere kildekode eller installere en bakdør.

Verktøyet forskerne kaller SkillCloak skriver om skadelig kode så den ser ren ut, men oppfører seg likt. Det tyngste grepet, self-extracting packing, gjemmer hele nyttelasten i en mappe skannerne hopper over, som .git/, bak en ufarlig dekoder som setter skillen sammen igjen først når agenten kjører den. Testet mot åtte skannere og 1 613 ekte ondsinnede skills fra markedsplassen ClawHub slapp packing-trikset forbi hver skanner i over 90 % av tilfellene, de fleste over 99 %. Den lettere omskrivingen, som bytter tegn mot forvekslbare bokstaver fra andre alfabeter eller deler en kommando over et linjeskift, klarte over 80 % på de fleste.

Samme team bygde et forsvar, SkillDetonate, som kjører skillen i en sandbox og følger hva den faktisk gjør på OS-nivå: hva den leser, hva den skriver, hvor den sender data. I kontrollert test fanget den 97 % av angrepene med bare 2 % falske alarmer, og holdt stand selv når skillene var kamuflert. På ekte skadevare fra markedsplasser fanget den 87 %. Cisco-skanneren, den sterkeste testede, gikk motsatt vei: 99 % før kamuflering og rundt 10 % etter. Prisen er fart, et par minutter per skill mot skannerens sekunder, men den kjører bare én gang før skillen tas i bruk.

Studien er en preprint som ennå ikke er fagfellevurdert, og alle tallene er forfatternes egne. Ingen har foreløpig sett angripere bruke akkurat disse packing-triksene i stor skala; eksemplene fra virkeligheten er beslektede omgåelser. Men problemet er reelt: Bitdefender fant at rundt 17 % av skillene den sjekket på én markedsplass bar skjult skadelig kode, og Koi Security talte 341 skadelige skills i én kampanje, senere 824. Én skill Unit 42 fant, omnicogg, polstret README-en med 22 MB søppel for å snike seg under skannerens størrelsesgrense.

Hva bør du gjøre?

  1. Behandle «bestått skann» som et utgangspunkt, ikke en garanti. Installer bare skills fra en vettet kilde, og gi agenten minst mulig tilgang.
  1. Overvåk hva en skill gjør når den kjører: hvilke filer den rører, hvilke kommandoer den starter, og hvor den sender data.
  2. Let etter varselflagg selv på skills som besto skannen, som store eller høy-entropi-filer i mapper skannere hopper over (.git/, build/), skills som setter sammen kode først ved kjøring, og filer polstret langt forbi fornuftig størrelse.
  3. Ikke kjør agentene på maskiner som holder hemmelighetene det er verdt å stjele.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN