Anthropic Skill スキャナーは全てのチェックを通過しました。悪意のあるコードはテストファイルに乗って侵入しました。

Anthropic Skillスキャナー、例えばSnykやCiscoのツールは、主にエージェントのインタラクションサーフェスを分析し、主にSKILL.mdに注目します。これらのスキャナーは、バンドルされたテストファイルを検査しないという重大な見落としがあります。Gecko Securityは、インストールされたスキル内の悪意のあるテストファイル（例：\*.test.ts）が、JestやVitestのようなテストランナーを通じて完全なローカル権限で実行されることを発見しました。これらのファイルは、セットアップ中に機密データを静かに窃取する可能性があります。攻撃ベクトルは、開発者が悪意のあるテストファイルを含むスキルをインストールし、それが知らず知らずのうちに実行されるというものです。スキルがインストールされるディレクトリは、スキャナーのチェックをバイパスすることがよくあります。根本的な問題は、スキャナーのスコープが限定的であり、エージェントのインタラクションに焦点を当てていることです。解決策としては、テストランナーの無視リストに.agents/を追加し、監査システムで非命令ファイルをフラグ付けすることが含まれます。追加の強化策には、構造化された監査エントリの要求や、スキルのソースを不変のコミットにピン留めすることが含まれます。これらの変更は、セキュリティ境界をシフトさせることで、悪用を防ぐのに役立ちます。