Mastodon Mastodon Mastodon Mastodon

Исследование Cloak and Detonate: статические сканеры навыков для ИИ-агентов систематически обходятся простыми приёмами

Фото автора

CyberSecureFox Editorial Team

Опубликовано:

Статические сканеры, призванные выявлять вредоносные дополнительные «навыки» (skills) для ИИ-агентов программирования, таких как Claude Code, OpenAI Codex и OpenClaw, систематически обходятся с помощью простых техник маскировки. Согласно препринту Cloak and Detonate исследователей из Гонконгского университета науки и технологий, наиболее эффективный приём — самораспаковывающаяся упаковка — преодолевает каждый из восьми протестированных сканеров более чем в 90% случаев. Команды, использующие ИИ-агенты для разработки, должны понимать: отметка «прошёл сканирование» на маркетплейсе навыков не гарантирует безопасность, а реальная защита требует контроля поведения навыка при выполнении.

Что такое навыки и почему они опасны

Навыки — это небольшие пакеты, как правило, состоящие из файла инструкций в формате Markdown и нескольких скриптов. Агенты загружают их для получения новых возможностей. Поскольку навык представляет собой набор файлов, один и тот же пакет может работать на разных агентах, наследуя их уровень доступа: к файловой системе, терминалу и сохранённым учётным данным. По данным исследователей, вредоносный навык способен похищать учётные данные, копировать исходный код или устанавливать бэкдор. При этом большинство навыков на публичных маркетплейсах загружается сторонними пользователями с минимальной проверкой.

Как SKILLCLOAK обходит сканеры

Исследователи создали инструмент SKILLCLOAK, который переписывает вредоносный навык так, чтобы он выглядел безопасным, сохраняя исходное поведение. Применяются два подхода.

Лёгкая перезапись модифицирует характерные байты, на которые реагирует сканер: подмена символов визуально идентичными символами из другого алфавита (гомоглифы) или разбиение помеченной команды переносом строки. Паттерн сканера перестаёт срабатывать, но команда по-прежнему выполняется. По данным авторов, этот метод преодолевает более 80% сканеров, а на одном из них — 96%.

Самораспаковывающаяся упаковка — более радикальный приём. Полезная нагрузка перемещается в директорию, которую сканеры пропускают (например, .git/), и скрывается за безобидным декодером, восстанавливающим навык только при запуске агентом. Сканеры игнорируют такие директории ради экономии времени и снижения ложных срабатываний — именно эту слепую зону эксплуатирует атака.

В тестах на 1 613 реальных вредоносных навыках с маркетплейса ClawHub упаковка обошла каждый из восьми сканеров более чем в 90% случаев, а большинство — более чем в 99%. На агентах Claude Code и OpenAI Codex замаскированные навыки, как сообщается, работали так же эффективно, как оригинальные. Сканер Cisco, показавший лучший результат среди статических решений, обнаруживал 99% вредоносных навыков до маскировки и лишь около 10% — после.

SKILLDETONATE: защита через анализ поведения

Поскольку внешний вид навыка легко подделать, исследователи предложили инструмент SKILLDETONATE, проверяющий поведение. Навык запускается в изолированной среде (песочнице), где отслеживаются действия на уровне операционной системы: чтение и запись файлов, сетевые соединения и направления передачи данных.

Два ключевых принципа делают подход эффективным для агентных сред. Во-первых, отслеживание чувствительных данных ведётся по потокам, а не по содержимому, поэтому кодирование в Base64 или шифрование не помогают уклониться. Во-вторых, инструкции, которые навык формирует только при запуске, исполняются именно в момент выполнения — там, где упаковка прячет полезную нагрузку.

В контролируемых тестах SKILLDETONATE, по данным авторов, обнаружил 97% атак при уровне ложных срабатываний 2% — ниже, чем у статических сканеров. На реальных вредоносных навыках показатель обнаружения составил 87%. Результаты оставались стабильными и после маскировки навыков. Компромисс — скорость: проверка одного навыка занимает несколько минут против нескольких секунд у сканера, однако выполняется однократно, до развёртывания.

Важная оговорка: работа является препринтом, не прошла рецензирование, а все количественные результаты получены одной исследовательской группой. Конкретные цифры следует воспринимать как предварительные.

Угрозы уже реализуются на практике

Проблема не является теоретической. По данным Bitdefender, примерно 17% проверенных навыков на одном из маркетплейсов содержали скрытый вредоносный код. Koi Security обнаружила 341 вредоносный навык в рамках кампании ClawHavoc.

Некоторые реальные атаки используют приёмы, описанные в исследовании. Согласно Unit 42, на ClawHub были найдены пять вредоносных навыков, прошедших встроенное сканирование. Один из них — omnicogg — дополнил README файл 22 МБ мусорных данных, чтобы превысить лимит размера сканера. Два других доставляли программы для кражи паролей на macOS, ещё два манипулировали финансовыми рекомендациями агента для продвижения партнёрских ссылок и схем с мем-токенами.

Разрыв между статической проверкой и поведением при выполнении проявляется и за пределами маркетплейсов навыков. Команда Mozilla 0DIN задокументировала случай, когда внешне безопасный репозиторий на GitHub заставил Claude Code открыть обратную оболочку (reverse shell) на машине разработчика. Вредоносный код отсутствовал в репозитории — скрипт установки загружал его во время выполнения из DNS-записи, поэтому статическому сканеру нечего было обнаружить.

Microsoft предупредил о смежном векторе: отравленное описание инструмента в Model Context Protocol, изменённое после одобрения, заставило финансового агента передавать данные о неоплаченных счетах. Механизм отличается, но нарушенное допущение одно и то же: то, что прошло проверку, — это то, что выполняется.

При этом следует отметить: ни один источник в доступных материалах не подтверждает, что именно техники SKILLCLOAK уже применяются атакующими в масштабе. Реальные случаи — это смежные методы уклонения, а не точное воспроизведение описанного инструментария.

Практические рекомендации

Для команд, использующих ИИ-агенты в разработке, исследование формулирует конкретные индикаторы, на которые стоит обращать внимание даже при успешном прохождении навыком сканирования:

  • Крупные файлы или файлы с высокой энтропией в директориях, которые сканеры обычно пропускают (.git/, build/).
  • Навыки, распаковывающие или собирающие код только при запуске, а не поставляющие его в открытом виде.
  • Файлы, дополненные данными значительно сверх разумного размера — приём для обхода лимитов сканера.

Помимо индикаторов, авторы предлагают конкретные меры защиты:

  • Хеширование навыка при сканировании и повторная проверка хеша перед каждым запуском — для обнаружения полезных нагрузок, распаковывающихся после проверки.
  • Мониторинг поведения при выполнении: какие файлы навык читает и модифицирует, какие команды запускает, куда отправляет данные.
  • Принцип минимальных привилегий: агентам следует предоставлять только тот доступ, который необходим для конкретной задачи.
  • Изоляция среды: не запускать агенты на машинах, содержащих критичные секреты — ключи API, токены доступа, приватные ключи.
  • Устанавливать навыки только из проверенных источников, не полагаясь на публичные маркетплейсы как на единственный фильтр.

Статическое сканирование остаётся полезным как базовая гигиена, но данное исследование — вместе с реальными инцидентами от Unit 42, Bitdefender и Mozilla 0DIN — демонстрирует его фундаментальное ограничение: сканер оценивает навык в момент загрузки, тогда как вредоносное поведение проявляется при выполнении. Для организаций, интегрирующих ИИ-агенты в рабочие процессы разработки, приоритетом должен стать переход от доверия к результатам статического сканирования к контролю поведения навыков в среде исполнения — через песочницы, мониторинг системных вызовов и отслеживание потоков данных.


CyberSecureFox Editorial Team

Редакция CyberSecureFox освещает новости кибербезопасности, уязвимости, malware-кампании, ransomware-активность, AI security, cloud security и security advisories вендоров. Материалы готовятся на основе official advisories, данных CVE/NVD, уведомлений CISA, публикаций вендоров и открытых отчётов исследователей. Статьи проверяются перед публикацией и обновляются при появлении новых данных.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.