Novinky

Výzkumníci obešli skenery škodlivých AI dovedností technikou SkillCloak

Novinky Date: Zobrazení: 4

Výzkumníci obešli skenery škodlivých AI dovedností technikou SkillCloak

„Dovednosti" (skills) jsou malé balíčky souborů – obvykle instrukční soubor v Markdownu doplněný o pár skriptů – které si AI agenti jako Claude Code, OpenAI Codex nebo OpenClaw stahují, aby získali novou schopnost. Protože jde jen o svazek souborů, stejná dovednost běží napříč různými agenty a se stejnými oprávněními, jaká má sám agent: přístup k souborům uživatele, k terminálu i k uloženým heslům. Škodlivá dovednost tak může ukrást přihlašovací údaje, zkopírovat zdrojový kód nebo nainstalovat zadní vrátka, a protože většinu obsahu veřejných tržišť nahrávají neznámí autoři téměř bez prověření, hlavní obranou zůstávají skenery, které soubory dovednosti prohlédnou ještě před instalací.

Výzkumníci z Hong Kong University of Science and Technology v práci nazvané Cloak and Detonate ukázali, že tato obrana neobstojí. Jejich nástroj SkillCloak přepíše škodlivou dovednost tak, aby vypadala neškodně, ale chovala se úplně stejně. Lehčí varianta nahrazuje nápadné bajty, na které skener reaguje – například záměnou znaku za vzhledově podobný znak z jiné abecedy nebo rozdělením podezřelého příkazu přes nový řádek – takže vzorec skeneru už neodpovídá, ale příkaz se stále spustí. Razantnější varianta, sebe-rozbalovací balení, přesune celý škodlivý obsah do adresáře, který skenery obvykle přeskakují, například .git/, za neškodně vyhlížející dekodér, jenž dovednost znovu sestaví, teprve když ji agent spustí. Skenery takové adresáře ignorují, aby ušetřily čas a omezily falešné poplachy, a přesně tuto mezeru trik využívá.

Na osmi skenerech a 1613 reálných škodlivých dovednostech stažených z tržiště ClawHub prošel trik se sebe-rozbalovacím balením u každého skeneru v drtivé většině případů – u většiny z nich v přes 99 procentech. Lehčí přepisování bajtů obešlo většinu skenerů v přes 80 procentech a jeden dokonce v 96 procentech, a zamaskování přitom útočníka nic nestojí: na Claude Code i OpenAI Codex fungovaly zamaskované dovednosti stejně dobře jako originály.

Image

Protože vzhled lze takto snadno zfalšovat, výzkumníci navrhují posuzovat chování místo vzhledu. Jejich nástroj SkillDetonate spouští dovednost v sandboxu a sleduje, co dělá na úrovni operačního systému – co čte, co zapisuje a kam odesílá data. Citlivá data sleduje podle toku, ne podle vzhledu, takže ho nezmate ani base64 kódování, ani šifrování, a instrukce dovednosti vyhodnocuje až za běhu, přesně tam, kde se skrývá payload sebe-rozbalovacího balení. V kontrolovaném testu nástroj zachytil 97 procent útoků při 2 procentech falešných poplachů a na reálných škodlivých dovednostech zachytil 87 procent, zatímco nejlepší testovaný skener od Cisco, který před zamaskováním chytal 99 procent reálných dovedností, po zamaskování zachytil jen kolem 10 procent.

Problém není teoretický. Bitdefender už dříve zjistil, že na jednom tržišti neslo skryté škodlivé chování zhruba 17 procent kontrolovaných dovedností, a Koi Security napočítala 341 škodlivých dovedností v jediné kampani nazvané ClawHavoc, později až 824. Některé z nich používaly přesně triky z nové studie – jedna dovednost si vycpala popis 22 megabajty balastu, aby obešla limit velikosti souboru skeneru, jiné instalovaly na macOS zloděje hesel nebo zneužívaly finanční rady agenta k propagaci affiliate odkazů.

Práce zatím prošla jen jako preprint bez recenzního řízení a testovaný nástroj SkillDetonate je výzkumný prototyp, ne nasazené řešení. Přesto naznačuje směr, kterým se obrana bude muset vydat: rozhodnutí o důvěryhodnosti dovednosti se musí přesunout z brány tržiště na stroj, kde se dovednost skutečně spouští. Organizacím, které AI agenty s dovednostmi používají, se doporučuje instalovat je jen z prověřených zdrojů, dávat agentům jen nejnutnější oprávnění a nespouštět je na strojích, kde jsou uložena data nebo přístupy, o které by útočník stál.

Další články