SkillCloak permite que las habilidades maliciosas de los agentes de IA evadan los escáneres estáticos con un embalaje autoextraíble

Los escáneres destinados a detectar «habilidades» complementarias maliciosas para agentes de codificación de IA pueden ser engañados con unos pocos cambios simples que dejan el malware funcionando, según un nuevo estudio de investigadores de la Universidad de Ciencia y Tecnología de Hong Kong.

Su truco más fuerte pasó desapercibido para todos los escáneres probados más del 90% de las veces, y el mismo equipo creó un verificador de tiempo de ejecución que detecta la mayoría de las habilidades encubiertas que los escáneres pasan por alto.

Las habilidades son paquetes pequeños, generalmente un archivo de instrucciones Markdown más algunos scripts, que agentes como Claude Code, OpenAI Codex y OpenClaw cargan para adquirir una nueva capacidad. Debido a que una habilidad es solo un conjunto de archivos, la misma puede ejecutarse en diferentes agentes. Y se ejecuta con el acceso del propio agente: tus archivos, tu terminal, tus contraseñas guardadas.

Uno malo puede robar credenciales, copiar código fuente o instalar una puerta trasera. La mayor parte de lo que un mercado público enumera es subido por extraños con poca investigación.

La principal defensa hasta ahora ha sido el escáner de habilidades, que lee los archivos de una habilidad antes de instalarla y bloquea cualquier cosa que parezca peligrosa. El documento, titulado «Ocultar y detonar,» prueba si eso realmente se sostiene. No es así. Sin embargo, vencer a los escáneres no es nuevo.

Ciberseguridad

Hacker News ha cubierto a investigadores que pasan una habilidad falsa más allá de todos los escáneres a los que se enfrentaron, lo que, según el propio recuento de la empresa, llegó a decenas de miles de agentes. Lo que este artículo añade es una manera de hacerlo sistemáticamente, a escala, y una defensa que aún funciona cuando lo hace.

Cómo se transmiten las habilidades disfrazadas

La herramienta de los investigadores, CAPA DE HABILIDADreescribe una habilidad maliciosa para que parezca limpia y se comporte exactamente igual. Funciona de dos maneras.

El más ligero reescribe los bytes revelados en los que teclea un escáner, utilizando los propios operadores del papel: cambia un carácter por uno parecido de otro alfabeto, o divide un comando marcado en una nueva línea, de modo que el patrón del escáner ya no coincida pero el comando aún se ejecuta.

El paquete más pesado, autoextraíble, mueve toda la carga útil a un directorio que el escáner omite, como .git/, detrás de un decodificador de apariencia inofensiva que reconstruye la habilidad solo cuando el agente la ejecuta. Los escáneres omiten dichos directorios para ahorrar tiempo y evitar falsas alarmas, que es exactamente el punto ciego que explota el truco.

A través de ocho escáneres y 1.613 habilidades maliciosas reales extraídas de ClawHub, un mercado público, el truco de embalaje superó cada uno de los ocho más del 90% de las veces, y superó a la mayoría de ellos más del 99%.

La reescritura más ligera aclaró más del 80% en la mayoría de los escáneres y el 96% en uno. Y el disfraz no le cuesta casi nada al atacante: en Claude Code y OpenAI Codex, las habilidades encubiertas funcionaron tan bien como las originales.

Observar lo que hace una habilidad, no cómo se ve

Dado que la apariencia se puede falsificar, los investigadores proponen comprobar el comportamiento, en una herramienta que llaman HABILIDAD DETONAR. Ejecuta la habilidad en un sandbox y observa lo que hace a nivel del sistema operativo: qué lee, qué escribe, dónde envía datos.

Dos ideas hacen que funcione para los agentes. Realiza un seguimiento de los datos confidenciales por dónde fluyen en lugar de por su apariencia, por lo que base64 o el cifrado no los desvían. Y ejecuta las instrucciones que una habilidad construye sólo en tiempo de ejecución, que es exactamente donde el truco de empaque esconde su carga útil.

En una prueba controlada, el verificador captó el 97% de los ataques mientras marcaba erróneamente el 2% de las habilidades seguras, una tasa de falsas alarmas más baja que los escáneres que vence, y se mantuvo estable cuando las habilidades estaban ocultas. En habilidades maliciosas del mundo real, captó el 87%.

El escáner de Cisco, el más potente probado, fue en sentido contrario: captó el 99% de las habilidades del mundo real antes del encubrimiento y alrededor del 10% después.

El problema es la velocidad, un par de minutos por habilidad frente a los pocos segundos de un escáner, aunque se ejecuta una vez, antes de que la habilidad entre en funcionamiento. El trabajo es una preimpresión y aún no ha sido revisado por pares; Los investigadores han publicado su código.

Ya está sucediendo en la naturaleza

Nada de esto es hipotético. Los mercados públicos ya están llenos de habilidades maliciosas que los escáneres no detienen: Bitdefender encontró Aproximadamente el 17% de las habilidades que verificó en un mercado contenían códigos maliciosos ocultos, y Koi Security contado 341 en una sola campaña a la que llamó ClawHavoc, como informó THN, luego 824 a medida que el mercado crecía.

Algunos utilizan los mismos trucos del periódico. De cinco habilidades evasivas Unidad 42 encontró todavía vive en ClawHub a pesar de su escaneo incorporado, uno, omnicogg, rellenó su README con 22 MB de basura para pasar el límite de tamaño del escáner, el mismo operador de relleno de tamaño que prueba el papel. Dos más entregaron ladrones de contraseñas de Mac y dos secuestraron el asesoramiento financiero del agente para impulsar enlaces de afiliados y manipular el lanzamiento de meme-coins.

La brecha en el tiempo de ejecución también aparece fuera de los mercados de habilidades. Un repositorio de GitHub de aspecto limpio recientemente llevó a Claude Code a abrir un shell inverso en la propia máquina del desarrollador, entregando el control remoto al atacante. El código malicioso nunca estuvo en el repositorio; el script de configuración lo obtuvo en tiempo de ejecución de un registro DNS, por lo que un análisis estático no tenía nada que detectar. El equipo 0DIN de Mozilla rastreado la cadena.

Ciberseguridad

Una falla relacionada afecta las descripciones de las herramientas que los agentes leen a través del Protocolo de contexto del modelo. microsoft prevenido que una descripción envenenada, modificada después de que se aprobó la herramienta, empujó silenciosamente a un agente financiero a filtrar facturas impagas. El mecanismo es diferente, pero la suposición rota es la misma: lo que pasó la revisión es lo que se ejecuta.

Vale la pena señalar claramente algunos límites. Nadie ha atrapado todavía a los atacantes utilizando exactamente estos trucos de embalaje a escala; Los casos del mundo real aquí son evasiones adyacentes, no SKILLCLOAK en sí. El verificador de tiempo de ejecución es un prototipo de investigación, sólido en el laboratorio pero no probado en un mercado real o bajo un atacante que intenta evadirlo activamente. Y cada número de desempeño es propio de los autores, de un artículo que no ha sido revisado por pares. La dirección está bien evidenciada; las cifras específicas merecen la cautela habitual debido al trabajo inicial de un solo grupo.

Ésa es la verdadera lección, y es en ella donde converge una línea de trabajo cada vez mayor. Un escáner juzga una habilidad por su apariencia cuando se envía, pero el comportamiento malicioso solo aparece una vez que se ejecuta la habilidad, una vez que ha pasado el escaneo. Por lo tanto, la decisión de confianza debe pasar de la puerta del mercado a la máquina donde se ejecuta la habilidad.

¿Qué cazar? Las evasiones del periódico dejan señales que un defensor puede buscar, incluso en una habilidad que pasó un escaneo:

  • Archivos grandes o de alta entropía escondidos en directorios que un escáner tiende a omitir, como .git/ o build/.
  • Habilidades que desempaquetan o ensamblan código solo cuando se ejecutan, en lugar de enviarlo a la vista.
  • Los archivos superaban con creces un tamaño razonable, el truco que desliza una habilidad por debajo del límite de tamaño de un escáner.

Ninguno de estos es prueba por sí solo. Son primeras banderas baratas, no un veredicto.

Para los equipos que utilizan agentes de codificación, eso hace que una insignia de «pasó el escaneo» sea un punto de partida, no una garantía. Mantenga el escaneo estático como higiene barata, pero observe lo que hace una habilidad cuando se ejecuta: los archivos que toca, los comandos que ejecuta y adónde envía datos.

El documento también ofrece soluciones provisionales concretas, como aplicar hash a una habilidad cuando se escanea y volver a verificar antes de cada ejecución para detectar cargas útiles que se descomprimen más tarde, y marcar habilidades que envían manchas opacas en carpetas ignoradas o archivos de bloc que superan un límite de tamaño. Ninguno de ellos cierra la brecha por sí solo, lo cual es el punto: la defensa duradera está observando el comportamiento en tiempo de ejecución.

Más allá de eso, instale solo desde una fuente verificada, brinde a los agentes el mínimo acceso que necesiten y no los ejecute en máquinas que contengan secretos que valga la pena robar.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *