Компанія AIR Security провела експеримент, який продемонстрував структурну вразливість в екосистемі навичок (skills) для ШІ-агентів: підробна навичка пройшла перевірку всіх протестованих сканерів безпеки, включно з інструментами Cisco та NVIDIA, завдяки тому, що зловмисна логіка розміщувалася на зовнішньому ресурсі, який сканери не аналізують. Проблема стосується всіх, хто використовує ШІ-агентів із підключуваними навичками з маркетплейсів: сканери перевіряють лише вміст пакета на момент подання, а контент за зовнішніми посиланнями може бути підмінений у будь-який момент після перевірки. Організаціям необхідно переглянути підхід до довіри до навичок агентів і впровадити контроль зовнішніх залежностей.
Механіка експерименту
Навичка під назвою brand-landingpage позиціонувалася як інструмент для створення лендингів за допомогою Google Stitch і була націлена на нетехнічних користувачів — маркетологів, продавців і дизайнерів. За даними AIR, для надання легітимності дослідники використали два ключові сигнали довіри:
- Зірки GitHub: навичка була додана через pull request у популярний репозиторій маркетплейса з приблизно 36 000 зірок і 156 навичками. Після злиття PR навичка успадкувала репутацію всього репозиторію.
- Чистий вердикт сканерів: пакет не містив зловмисного коду — лише інструкцію для агента встановити «Stitch SDK», дотримуючись документації за зовнішнім посиланням.
Ключовий елемент атаки — домен stitch-design.ai, контрольований AIR, а не Google (справжній сервіс Stitch розташовано на stitch.withgoogle.com). Спершу за цією адресою була розміщена справжня документація Stitch, що дозволяло сканерам розцінювати пакет як безпечний. Після поширення навички через рекламу в Instagram вміст сторінки було замінено на інструкції, які зобов’язували агента завантажити та виконати скрипт.
Навичка — це набір інструкцій, які агент завантажує у свій контекст і виконує з повноваженнями, співмірними з користувацьким запитом. Як зазначає документація Anthropic, навички, що звертаються до зовнішніх URL, становлять ризик саме тому, що вміст за посиланням може змінитися після проходження перевірки.
Чому сканери не виявили загрозу
Протестовані сканери — Cisco skill-scanner, NVIDIA Skillspector і сканери, інтегровані в skills.sh, — аналізують лише вміст поданого пакета: файл SKILL.md та додані файли. Зовнішні ресурси, на які посилається навичка, залишаються поза межами перевірки.
Проблема має структурний характер: перевірка виконується одноразово в момент подання, тоді як сторінка, на яку навичка спрямовує агента, може бути переписана будь-коли. Це класична схема відкладеної підміни корисного навантаження, добре відома в контексті атак на ланцюг постачання програмного забезпечення.
Незалежне підтвердження проблеми
Експеримент AIR не є ізольованим спостереженням. Трьома тижнями раніше компанія Trail of Bits опублікувала дослідження, у якому обійшла детектор зловмисних навичок ClawHub, сканер Cisco та всі три сканери, інтегровані в skills.sh. Висновок Trail of Bits був прямолінійним: сканер перевіряє фіксований пакет, а зловмисник може ітеративно коригувати корисне навантаження доти, доки воно не пройде перевірку.
Окреме дослідження показало, що сканери часто розходяться в оцінках, оскільки кожен аналізує навичку ізольовано, не враховуючи зовнішні посилання та можливі зміни після перевірки.
Оцінка впливу та застереження
Важливо враховувати контекст публікації: AIR запускає власний керований маркетплейс навичок і завершує звіт його просуванням. Заявлене охоплення та деталі про корпоративні акаунти не підтверджені незалежно. Початковий матеріал коректно наголошує, що ці цифри слід сприймати зі скепсисом.
Втім, метод атаки підтверджено незалежно і він становить реальну загрозу. Потенційні наслідки у разі зловмисного використання включають читання файлів, переміщення даних і доступ до внутрішніх систем — у межах повноважень, доступних агенту. Найбільшому ризику піддаються організації, де співробітники самостійно встановлюють навички для ШІ-агентів без централізованого контролю, особливо в маркетингових, дизайнерських і комерційних підрозділах, на які й була націлена рекламна кампанія.
Рекомендації щодо захисту
- Інвентаризація: визначте, які навички вже встановлені та працюють в агентах організації. Більшість із них, за даними дослідників, були встановлені без будь-якої перевірки.
- Централізований контроль: спрямовуйте встановлення нових навичок через єдине контрольоване джерело. Забороніть самостійне встановлення навичок із публічних маркетплейсів.
- Перевірка зовнішніх залежностей: аналізуйте не лише вміст пакета, а й усі ресурси, на які посилається навичка. Перевіряйте належність доменів.
- Повторна перевірка: перевіряйте навички повторно за будь-яких змін у пов’язаному зовнішньому контенті. Чистий результат під час встановлення не гарантує безпеки надалі.
- Фіксація версій: закріплюйте конкретні версії навичок і їхніх залежностей.
- Мінімальні привілеї: обмежуйте агентів мінімально необхідними правами доступу. Виходьте з того, що будь-яка зовнішня інструкція, завантажена агентом, виконується з його повноваженнями.
Експеримент AIR не виявив нової вразливості в конкретному продукті — він наочно продемонстрував, як кілька слабких сигналів довіри (запозичені зірки GitHub, одноразове сканування пакета, перезаписуване зовнішнє посилання) складаються в робочий вектор атаки на ланцюг постачання ШІ-агентів. Організаціям, які використовують агентів із підключуваними навичками, слід негайно провести аудит установлених навичок, запровадити контроль зовнішніх залежностей і перейти до моделі, у якій навичка розглядається як виконуваний код, а не як довірений текст.
