Компания AIR Security провела эксперимент, продемонстрировавший структурную уязвимость в экосистеме навыков (skills) для ИИ-агентов: поддельный навык прошёл проверку всех протестированных сканеров безопасности, включая инструменты Cisco и NVIDIA, благодаря тому, что вредоносная логика размещалась на внешнем ресурсе, который сканеры не анализируют. Проблема затрагивает всех, кто использует ИИ-агентов с подключаемыми навыками из маркетплейсов: сканеры проверяют только содержимое пакета на момент подачи, а контент по внешним ссылкам может быть подменён в любой момент после проверки. Организациям необходимо пересмотреть подход к доверию навыкам агентов и внедрить контроль внешних зависимостей.
Механика эксперимента
Навык под названием brand-landingpage позиционировался как инструмент для создания лендингов с помощью Google Stitch и был нацелен на нетехнических пользователей — маркетологов, продавцов и дизайнеров. По данным AIR, для придания легитимности исследователи использовали два ключевых сигнала доверия:
- Звёзды GitHub: навык был добавлен через pull request в популярный репозиторий маркетплейса с примерно 36 000 звёзд и 156 навыками. После слияния PR навык унаследовал репутацию всего репозитория.
- Чистый вердикт сканеров: пакет не содержал вредоносного кода — только инструкцию для агента установить «Stitch SDK», следуя документации по внешней ссылке.
Ключевой элемент атаки — домен stitch-design.ai, контролируемый AIR, а не Google (настоящий сервис Stitch расположен на stitch.withgoogle.com). Изначально по этому адресу размещалась подлинная документация Stitch, что позволяло сканерам расценивать пакет как безопасный. После распространения навыка через Instagram-рекламу содержимое страницы было заменено на инструкции, предписывающие агенту загрузить и выполнить скрипт.
Навык — это набор инструкций, которые агент загружает в свой контекст и выполняет с полномочиями, сопоставимыми с пользовательским запросом. Как отмечает документация Anthropic, навыки, обращающиеся к внешним URL, представляют риск именно потому, что содержимое по ссылке может измениться после прохождения проверки.
Почему сканеры не обнаружили угрозу
Протестированные сканеры — Cisco skill-scanner, NVIDIA Skillspector и сканеры, интегрированные в skills.sh — анализируют только содержимое представленного пакета: файл SKILL.md и прилагаемые файлы. Внешние ресурсы, на которые ссылается навык, остаются за пределами проверки.
Проблема носит структурный характер: проверка выполняется однократно в момент подачи, тогда как страница, на которую навык направляет агента, может быть переписана в любое время. Это классическая схема отложенной подмены полезной нагрузки, хорошо известная в контексте атак на цепочку поставок программного обеспечения.
Независимое подтверждение проблемы
Эксперимент AIR не является изолированным наблюдением. Тремя неделями ранее компания Trail of Bits опубликовала исследование, в котором обошла детектор вредоносных навыков ClawHub, сканер Cisco и все три сканера, интегрированных в skills.sh. Вывод Trail of Bits был прямолинеен: сканер проверяет фиксированный пакет, а атакующий может итеративно корректировать полезную нагрузку до тех пор, пока она не пройдёт проверку.
Отдельное исследование показало, что сканеры часто расходятся в оценках, поскольку каждый анализирует навык изолированно, не учитывая внешние ссылки и возможные изменения после проверки.
Оценка воздействия и оговорки
Важно учитывать контекст публикации: AIR запускает собственный управляемый маркетплейс навыков и завершает отчёт его продвижением. Заявленный охват и детали о корпоративных аккаунтах не подтверждены независимо. Исходный материал корректно указывает на необходимость скептического прочтения этих цифр.
Однако метод атаки подтверждён независимо и представляет реальную угрозу. Потенциальные последствия при злонамеренном использовании включают чтение файлов, перемещение данных и доступ к внутренним системам — в пределах полномочий, доступных агенту. Наибольшему риску подвержены организации, где сотрудники самостоятельно устанавливают навыки для ИИ-агентов без централизованного контроля, особенно в маркетинговых, дизайнерских и коммерческих подразделениях, на которые была нацелена рекламная кампания.
Рекомендации по защите
- Инвентаризация: определите, какие навыки уже установлены и работают в агентах организации. Большинство из них, по данным исследователей, были установлены без какой-либо проверки.
- Централизованный контроль: направляйте установку новых навыков через единый контролируемый источник. Запретите самостоятельную установку навыков из публичных маркетплейсов.
- Проверка внешних зависимостей: анализируйте не только содержимое пакета, но и все ресурсы, на которые навык ссылается. Проверяйте принадлежность доменов.
- Повторная проверка: перепроверяйте навыки при любых изменениях в связанном внешнем контенте. Чистый результат при установке не гарантирует безопасности в дальнейшем.
- Фиксация версий: закрепляйте конкретные версии навыков и их зависимостей.
- Минимальные привилегии: ограничивайте агентов минимально необходимыми правами доступа. Исходите из того, что любая внешняя инструкция, загруженная агентом, выполняется с его полномочиями.
Эксперимент AIR не выявил новую уязвимость в конкретном продукте — он наглядно продемонстрировал, как несколько слабых сигналов доверия (заимствованные звёзды GitHub, однократное сканирование пакета, перезаписываемая внешняя ссылка) складываются в работающий вектор атаки на цепочку поставок ИИ-агентов. Организациям, использующим агентов с подключаемыми навыками, следует немедленно провести аудит установленных навыков, внедрить контроль внешних зависимостей и перейти к модели, в которой навык рассматривается как исполняемый код, а не как доверенный текст.
