セキュリティ研究者らは、ClawHub、Cisco、VercelのSkills.shが提供するAIスキルセキュリティスキャナーが、単純な手法によって確実に回避できることを実証し、エージェント型AIのサプライチェーン防御に深刻な懸念を投げかけています。
Trail of Bitsが実施したテストでは、データ窃取、エージェントのハイジャック、任意コードの実行を目的として設計された複数の悪意あるスキルが正常にアップロードされ、評価対象のすべてのスキャナーで安全と判定されました。
今回の研究は、ClawHubのVirusTotalを活用したスキャンパイプライン、Ciscoのオープンソーススキルスキャナー、そしてSkills.shが採用するGen、Socket、Snykの各統合機能を対象としています。
研究者らは、問題の核心はシグネチャの弱さやルールの未成熟さにとどまらず、構造的なものであると強調しています。公開スキルマーケットプレイスは従来のパッケージエコシステムを模倣しつつも、コード・設定ファイル・自然言語プロンプトを組み合わせた、より広範な攻撃対象領域を抱えています。
スキルはSKILL.MDの指示、埋め込みスクリプト、バイナリ成果物、さらにはマルチモーダルコンテンツの中に悪意ある動作を隠すことができ、静的解析やLLMベースの分類を脆弱にし、容易に回避できるものにしています。スキャナーは静的なターゲットであるため、攻撃者はすべての検査を通過するバリアントが見つかるまで、ペイロードを繰り返しテスト・改良することができます。
ClawHubでは、Trail of Bitsがスキルファイルの悪意あるロジックの前に約100,000個の改行文字を挿入するだけで、簡単に回避できることを実証しました。OpenClawのスキャンハーネスはガードモデルのプロンプトに対してサイズ超過のコンテンツを切り捨てるため、悪意あるセクションが検査範囲外に置かれてしまいます。
内部的にGemini 3 Flashを使用するVirusTotal / Code Insightの統合パスも、スキルを悪意あるものとして分類することができませんでした。この攻撃は、コストとレイテンシーを制御するために採用されたコンテキストウィンドウの切り捨て戦略が、攻撃者に悪用されるブラインドスポットになり得ることを示しています。
Skills.shとCiscoのスキルスキャナーの評価では、研究者らは任意のGitリポジトリとバイナリペイロードを活用した、より複雑な手法にエスカレートしました。SKILL.MDに記載された「context-loader」スキルの一つは、実際にはXMLと埋め込みシェルスクリプトのペイロードを含むZIPアーカイブである.docxファイルから本来の指示を読み込むよう、エージェントに指示するものでした。
スキャナーの大半はそのドキュメントを不透明なものとして扱い、間接参照と隠されたスクリプトを結びつけることができませんでした。もう一つの「simple-formatter」スキルは、一見無害なPythonソースコードを提供しつつ、後の情報窃取に備えて環境変数を収集する汚染された.pycファイルを組み合わせていました。
Skills.shの統合機能もCiscoのエンジンも、ソースとコンパイル済みの動作の相違を検出するほど詳細にバイトコードを検査しませんでした。
Trail of Bitsはさらに、npmとyarnを攻撃者が管理するレジストリを使用するよう設定する「dev-env-setup」スキルにおいて、プロンプトインジェクション型の攻撃を実演しました。この設定は社内の企業ミラーを装ったものでした。
SKILL.mdとインラインコメントは、標準的なエンタープライズツールやAppSec承認済みの設定のように見えるよう注意深く記述されており、LLMアナライザーが変更を低リスクとして扱うよう巧妙に誘導するものでした。
Ciscoのスキャナーは、Claude Sonnet 4.6のような強力なモデルを使用していても、低深刻度の問題しか検出できず、最終的にスキルを安全と判定しました。レジストリ自体を悪意ある制御点として検出するよりも、「内部」URLの潜在的な公開に重点が置かれていたためです。
Ciscoはその後、厳格な仕様検証とJavaScriptおよびTypeScriptのスキャンを含むより広範な言語サポートを追加する研究者からのプルリクエストを承認しました。ただし、これらの改善はプロンプトインジェクションや、スキルが依存し得る多様な言語・フォーマット・バイナリ成果物の長いテールには対応していません。
Trail of Bitsはさらに、AnthropicのMS Officeスキルがサンドボックスのソケット制限を回避するためにLD_PRELOADトリックを使用しているケースのように、信頼できるベンダーの正規スキルでさえも非常に疑わしく見えることがあり、現在のスキャナーはそれを確信を持って分類することに苦心していると指摘しています。
研究者らは、組織は信頼の判断を自動スキルスキャナーや公開マーケットプレイスに委ねるべきではないと結論づけています。その代わりに、厳選された社内スキルレジストリの構築、スキルの導入・更新権限の厳格な管理、バージョンの固定、そしてデフォルトで公開スキルを信頼できないコードとして扱うことを推奨しています。
エコシステムが成熟するまでの間、エージェントオペレーターはスキルの攻撃対象領域を小さく保ち、機密性の高い環境ではClawHubやSkills.shのような公開ハブからのワンクリックインストールを避け、意欲的な攻撃者は現在のAIスキル検出ツールを回避できると想定して行動するよう強く求められています。
翻訳元: https://gbhackers.com/clawhub-cisco-and-vercel-skill-detection-tools-evaded-by-malicious-uploads/
