RSS トレイル・オブ・ビッツ ブログ
フォロー
スキル分布の残念な現状
パブリックなスキルマーケットプレイスには、認証情報やデータを盗むために設計された悪意のあるスキルが蔓延しています。セキュリティ企業は、インストール前にこれらの脅威を検出するためのスキルスキャナーを導入しましたが、私たちのテストではそれらが効果的でないことが明らかになりました。私たちは、CiscoのエージェントスキルスキャナーであるClawHubと、skills.shに統合された複数のスキャナーの検出メカニズムを正常に回避しました。これらの回避は、標準的な攻撃手法と比較的少ない労力で達成されました。これらのスキャナーの静的な性質は、攻撃者が成功するまで繰り返し手法をテストし、洗練させることを可能にします。
ソフトウェアサプライチェーンのセキュリティは常に懸念事項であり、エージェントシステムの台頭は新たなベクトル、すなわちスキルを導入しました。悪意のあるスキルは、コードに加えて自然言語プロンプトを活用でき、攻撃の可能性を拡大します。ZIPアーカイブ、キュレーションされたマーケットプレイス、パブリックマーケットプレイスなどのスキル配布チャネルは、セキュリティよりも速度を優先することがよくあります。特にパブリックマーケットプレイスは、ユーザーのシステムを侵害することを目的とした悪意のあるスキルで溢れかえっています。
VirusTotalとGemini 3 Flashベースのツールを使用するClawHubのスキャナーの分析では、悪意のあるコードを不明瞭にするために過剰な改行を追加するだけで回避できることが示されました。任意のgitリポジトリを処理するCiscoのスキルスキャナーとskills.shのスキャナーも脆弱でした。私たちは、.docxファイル内に悪意のある命令を埋め込み、パターンマッチングとLLMベースの分析の両方を回避するポイズニングされた.pycバイトコードを使用することでこれを悪用しました。skills.shに対するプロンプトインジェクション攻撃は、無害に見える企業の構成言語内に悪意のあるコマンドを偽装しました。これらの発見は、現在のスキルセキュリティ対策における重大な脆弱性を浮き彫りにしています。
