VentureBeat publiserte 5. mai en analyse av et strukturelt hull i programvarens forsyningskjede. CLI-Anything fra Data Intelligence Lab ved University of Hong Kong genererer SKILL.md-filer som lar Claude Code, Codex, OpenClaw, Cursor og GitHub Copilot CLI styre hvilket repo som helst med ett kommando. Verktøyet har samlet over 30 000 GitHub-stjerner siden mars, men samme mekanisme er allerede oversatt til offensive playbooks i sikkerhetsforumer.
Det er ikke CLI-Anything som er problemet. Det er det CLI-Anything representerer: et nytt lag mellom kode og avhengigheter som ingen mainstream-skanner har en deteksjonskategori for.
«SAST og SCA ble bygget for kode og avhengigheter. De inspiserer ikke instruksjoner.» — Merritt Baer, CSO i Enkrypt AI og tidligere Deputy CISO ved AWS
Cisco bekreftet gapet i april. SAST analyserer syntaks i kildekoden. SCA sjekker avhengighetsversjoner mot CVE-databaser. Ingen av dem forstår det semantiske laget der MCP-verktøybeskrivelser, agent-prompts og skill-definisjoner opererer. Skadelige instruksjoner i en SKILL.md trigger ikke en CVE og dukker aldri opp i en SBOM.
Snyks ToxicSkills-revisjon i februar fant 76 bekreftet ondsinnede payloads i ClawHub og skills.sh, og 13,4 % av alle 3 984 skannede skills hadde minst ett kritisk problem. Daglige innleveringer av skills hoppet fra under 50 i midten av januar til over 500 tidlig i februar. Barrieren for å publisere var en SKILL.md, en GitHub-konto og null kodesignering.
En forskerartikkel fra Griffith, NTU, UNSW og University of Tokyo (april 2026) introduserte Document-Driven Implicit Payload Execution (DDIPE) og målte bypass-rater mellom 11,6 % og 33,5 % på tvers av fire agent-rammeverk og fem LLM-er. 2,5 % av skadelige prøver unngikk alle fire deteksjonslag.
Angrepskjeden er enkel og i bruk. En angriper sender inn en SKILL.md med dokumentasjon som ser uskyldig ut. Kodereviewen vinker den gjennom fordi ingenting er kjørbart. Utvikleren kobler agenten til repoet, og agenten leser instruksjonen som operasjonell direktiv. Den eksekverer med utviklerens egne credentials. EDR ser et godkjent API-kall fra en autorisert prosess og slipper det forbi.
I april ble en GitHub-issue-tittel brukt til å trigge en AI-triage-bot koblet til Cline. Boten eksfiltrerte en GITHUB_TOKEN, og angriperen publiserte en kompromittert npm-pakke som installerte en sekundær agent på rundt 4 000 utviklermaskiner i åtte timer.
Hva bør du gjøre?
- Behandle SKILL.md-filer, MCP-tool-beskrivelser og Cursor-rules som eksekverbar kode i review. De er det funksjonelt, selv om de ser ut som markdown.
- Begrens hvilke repoer agenten din får skanne, og hvilke credentials den arver. Flat autorisasjon er kjernen i hvorfor angrepet sklir gjennom.
- Sjekk ClawPatrol og lignende skill-skannere for prosjekter du allerede bruker. Snyk og Cisco har varslet egne agent-skannere, men ingen er ennå standard i CI.
Bakgrunn
SKILL.md-formatet kommer fra agent-økosystemet rundt OpenClaw, Claude Code og lignende verktøy. Det er en strukturert måte å fortelle en agent hva et repo gjør og hvordan det opereres. Pillar Security demonstrerte allerede i januar (CVE-2026-22708) at indirekte prompt injection kunne forgifte shell-built-ins i Cursor og gjøre godkjente kommandoer til arbitrær kodeeksekvering uten at brukeren så hva som faktisk ble kjørt.