Mastodon Mastodon Mastodon Mastodon

Wie SKILLCLOAK statische Scans von KI-Agent-Skills aushebelt

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Statische Scanner, die dazu dienen, bösartige zusätzliche „Skills“ für KI-Programmieragenten wie Claude Code, OpenAI Codex und OpenClaw zu erkennen, lassen sich systematisch mit einfachen Verschleierungstechniken umgehen. Laut dem Preprint „Cloak and Detonate“ von Forschenden der Hong Kong University of Science and Technology ist die wirksamste Methode – eine selbstentpackende Verpackung – in der Lage, jeden der acht getesteten Scanner in mehr als 90 % der Fälle zu überwinden. Teams, die KI-Agenten für die Entwicklung einsetzen, sollten sich klarmachen: Das Label „Scan bestanden“ auf einem Skill-Marktplatz garantiert keine Sicherheit, und wirksamer Schutz erfordert die Kontrolle des Verhaltens eines Skills während der Ausführung.

Was sind Skills und warum sind sie gefährlich

Skills sind kleine Pakete, die in der Regel aus einer Anleitungsdatei im Markdown-Format und einigen Skripten bestehen. Agenten laden sie, um neue Fähigkeiten zu erhalten. Da ein Skill aus einer Menge von Dateien besteht, kann dasselbe Paket auf verschiedenen Agenten laufen und übernimmt dabei deren Zugriffsebene: auf das Dateisystem, das Terminal und gespeicherte Zugangsdaten. Den Forschenden zufolge ist ein bösartiger Skill in der Lage, Zugangsdaten zu stehlen, Quellcode zu kopieren oder eine Backdoor zu installieren. Gleichzeitig werden die meisten Skills auf öffentlichen Marktplätzen von Drittanwendern mit nur minimaler Prüfung hochgeladen.

Wie SKILLCLOAK Scanner umgeht

Die Forschenden entwickelten das Tool SKILLCLOAK, das einen bösartigen Skill so umschreibt, dass er harmlos wirkt, dabei aber sein ursprüngliches Verhalten beibehält. Es kommen zwei Ansätze zum Einsatz.

Leichtes Umschreiben modifiziert charakteristische Bytes, auf die der Scanner reagiert: Ersetzen von Zeichen durch visuell identische Zeichen aus einem anderen Alphabet (Homoglyphen) oder Aufteilen des markierten Befehls durch einen Zeilenumbruch. Dadurch greift das Muster des Scanners nicht mehr, der Befehl wird jedoch weiterhin ausgeführt. Nach Angaben der Autoren überwindet diese Methode mehr als 80 % der Scanner, bei einem Scanner sogar 96 %.

Selbstentpackende Verpackung ist ein radikalerer Ansatz. Die Payload wird in ein Verzeichnis verschoben, das Scanner normalerweise auslassen (etwa .git/), und hinter einem harmlos wirkenden Decoder verborgen, der den Skill erst beim Start durch den Agenten wiederherstellt. Scanner ignorieren solche Verzeichnisse, um Zeit zu sparen und Fehlalarme zu reduzieren – genau diese blinde Stelle nutzt der Angriff aus.

In Tests mit 1.613 realen bösartigen Skills vom Marktplatz ClawHub umging die Verpackung jeden der acht Scanner in mehr als 90 % der Fälle, die meisten sogar in mehr als 99 %. Auf den Agenten Claude Code und OpenAI Codex funktionierten die verschleierten Skills den Angaben zufolge ebenso effektiv wie die Originale. Der Cisco-Scanner, der unter den statischen Lösungen das beste Ergebnis zeigte, erkannte vor der Verschleierung 99 % der bösartigen Skills und danach nur noch etwa 10 %.

SKILLDETONATE: Schutz durch Verhaltensanalyse

Da das äußere Erscheinungsbild eines Skills leicht zu fälschen ist, schlugen die Forschenden das Tool SKILLDETONATE vor, das das Verhalten überprüft. Der Skill wird in einer isolierten Umgebung (Sandbox) gestartet, in der Aktionen auf Betriebssystemebene nachverfolgt werden: das Lesen und Schreiben von Dateien, Netzwerkverbindungen und die Richtung der Datenübertragung.

Zwei zentrale Prinzipien machen den Ansatz für agentenbasierte Umgebungen effektiv. Erstens wird die Nachverfolgung sensibler Daten auf Ebene der Datenflüsse und nicht anhand des Inhalts durchgeführt, sodass Base64-Codierung oder Verschlüsselung nicht helfen, sich zu entziehen. Zweitens werden Anweisungen, die der Skill erst beim Start generiert, genau in dem Moment ausgeführt – bei der Laufzeit –, an dem die Verpackung die Payload verbirgt.

In kontrollierten Tests erkannte SKILLDETONATE nach Angaben der Autoren 97 % der Angriffe bei einer Falsch-Positiv-Rate von 2 % – niedriger als bei statischen Scannern. Bei realen bösartigen Skills lag die Erkennungsrate bei 87 %. Die Ergebnisse blieben auch nach der Verschleierung der Skills stabil. Der Kompromiss ist die Geschwindigkeit: Die Prüfung eines einzelnen Skills dauert mehrere Minuten gegenüber wenigen Sekunden bei einem Scanner, erfolgt aber nur einmal, vor der Bereitstellung.

Wichtiger Hinweis: Die Arbeit ist ein Preprint, wurde noch nicht begutachtet, und alle quantitativen Ergebnisse stammen von einer einzigen Forschungsgruppe. Konkrete Zahlen sind daher als vorläufig zu betrachten.

Bedrohungen werden bereits in der Praxis ausgenutzt

Das Problem ist nicht nur theoretischer Natur. Laut Bitdefender enthielten etwa 17 % der überprüften Skills auf einem der Marktplätze versteckten bösartigen Code. Koi Security entdeckte 341 bösartige Skills im Rahmen der Kampagne ClawHavoc.

Einige reale Angriffe nutzen Techniken, die in der Studie beschrieben werden. Laut Unit 42 wurden auf ClawHub fünf bösartige Skills gefunden, die das eingebaute Scanning passiert hatten. Einer davon – omnicogg – ergänzte die README-Datei um 22 MB an Datenmüll, um das Größenlimit des Scanners zu überschreiten. Zwei weitere lieferten Programme zum Diebstahl von Passwörtern unter macOS aus, zwei andere manipulierten die finanziellen Empfehlungen des Agenten, um Partnerlinks und Mem-Token-Schemata zu bewerben.

Die Lücke zwischen statischer Prüfung und Verhalten zur Laufzeit zeigt sich auch außerhalb von Skill-Marktplätzen. Das Team von Mozilla 0DIN dokumentierte einen Fall, in dem ein äußerlich sicher wirkendes Repository auf GitHub Claude Code dazu brachte, eine Reverse Shell (reverse shell) auf der Maschine des Entwicklers zu öffnen. Bösartiger Code fehlte im Repository – das Installationsskript lud ihn zur Laufzeit aus einem DNS-Eintrag nach, sodass ein statischer Scanner nichts finden konnte.

Microsoft warnte vor einem verwandten Angriffsvektor: Eine vergiftete Beschreibung eines Tools im Model Context Protocol, die nach der Freigabe verändert wurde, veranlasste einen Finanzagenten dazu, Daten über unbezahlte Rechnungen weiterzugeben. Der technische Mechanismus unterscheidet sich, doch die verletzte Annahme ist dieselbe: Das, was die Prüfung bestanden hat, ist identisch mit dem, was später ausgeführt wird.

Dabei ist anzumerken: In den verfügbaren Quellen bestätigt keine, dass Angreifer Techniken von SKILLCLOAK bereits in größerem Umfang einsetzen. Die realen Fälle betreffen verwandte Umgehungsmethoden, nicht die exakte Reproduktion des beschriebenen Werkzeugs.

Praktische Empfehlungen

Für Teams, die KI-Agenten in der Entwicklung einsetzen, formuliert die Studie konkrete Indikatoren, auf die man selbst dann achten sollte, wenn ein Skill das Scanning erfolgreich durchlaufen hat:

  • Große Dateien oder Dateien mit hoher Entropie in Verzeichnissen, die Scanner üblicherweise auslassen (.git/, build/).
  • Skills, die Code erst beim Start entpacken oder zusammensetzen, anstatt ihn im Klartext mitzuliefern.
  • Dateien, die weit über eine plausible Größe hinaus mit Daten aufgefüllt wurden – ein Trick zur Umgehung von Scanner-Limits.

Neben diesen Indikatoren schlagen die Autoren konkrete Schutzmaßnahmen vor:

  • Hashing des Skills beim Scanning und erneute Überprüfung des Hashes vor jedem Start – um Payloads zu erkennen, die erst nach der Prüfung entpackt werden.
  • Überwachung des Verhaltens zur Laufzeit: Welche Dateien der Skill liest und verändert, welche Befehle er ausführt und wohin er Daten sendet.
  • Prinzip der minimalen Rechtevergabe: Agenten sollten nur den Zugriff erhalten, der für die jeweilige Aufgabe unbedingt nötig ist.
  • Isolierung der Umgebung: Agenten nicht auf Systemen ausführen, die kritische Geheimnisse enthalten – API-Keys, Zugriffstokens, private Schlüssel.
  • Skills nur aus geprüften Quellen installieren und sich nicht allein auf öffentliche Marktplätze als Filter verlassen.

Statisches Scanning bleibt als grundlegende Sicherheits­hygiene nützlich, doch diese Studie – zusammen mit realen Vorfällen von Unit 42, Bitdefender und Mozilla 0DIN – macht eine fundamentale Einschränkung deutlich: Ein Scanner bewertet einen Skill zum Zeitpunkt des Downloads, während sich bösartiges Verhalten erst bei der Ausführung zeigt. Für Organisationen, die KI-Agenten in Entwicklungsprozesse integrieren, sollte daher die Priorität darin liegen, vom Vertrauen in die Ergebnisse statischer Scans zu einer Kontrolle des Skill-Verhaltens in der Laufzeitumgebung überzugehen – durch Sandboxes, Überwachung von Systemaufrufen und Nachverfolgung von Datenflüssen.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.