Жалкое состояние распределения навыков

Публичные рынки навыков полны злонамеренных навыков, предназначенных для кражи учетных данных и данных. Компании по безопасности ввели сканеры навыков для обнаружения этих угроз до установки, но наши тесты показывают, что они неэффективны. Мы успешно обошли механизмы обнаружения в ClawHub, сканере агентских навыков Cisco, и нескольких сканерах, интегрированных в skills.sh. Эти обходы были достигнуты с помощью стандартных методов атаки и относительно небольшого количества усилий. Статический характер этих сканеров позволяет атакующим повторно тестировать и совершенствовать свои методы до тех пор, пока они не добьются успеха. Безопасность цепочек поставок программного обеспечения всегда была предметом беспокойства, и возникновение агентных систем ввело новый вектор: навыки. Злонамеренные навыки могут использовать естественные языковые подсказки в дополнение к коду, расширяя возможности атаки. Каналы распространения навыков, такие как архивы ZIP, курируемые рынки и публичные рынки, часто отдают предпочтение скорости над безопасностью. Публичные рынки, в частности, были наводнены злонамеренными навыками, направленными на компрометацию систем пользователей. Наш анализ сканера ClawHub, который использует VirusTotal и инструмент Gemini 3 Flash, показал, что его можно обойти, просто добавив избыточные новые строки для сокрытия злонамеренного кода. Сканер навыков Cisco и сканеры на skills.sh, которые обрабатывают произвольные репозитории git, также были уязвимы. Мы воспользовались этим, внедрив злонамеренные инструкции в файлы .docx и используя отравленный байт-код .pyc, который обходит как анализ на основе шаблонов, так и анализ на основе LLM. Атака на внедрение подсказки на skills.sh маскировала злонамеренные команды под видом безобидного корпоративного языка конфигурации. Эти результаты подчеркивают значительные уязвимости в текущих мерах безопасности навыков.

The sorry state of skill distribution blog.trailofbits.com

RSS Hunter • 3 июн.