恶意代理技能可以窃取凭证、提取源代码并安装后门

admin 2026-07-15 05:14:18 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 恶意AI代理技能可通过混淆与打包绕过静态扫描器,窃取凭证或安装后门,威胁AI编码供应链安全。研究显示静态扫描易被规避,运行时行为审计更有效。建议采用以行为为中心的沙箱监控工具,在执行阶段检测文件访问与网络异常,取代仅依赖安装时的信任检查,以应对快速演进的AI代理攻击。 综合评分: 86 文章分类: AI安全,供应链安全,恶意软件,漏洞分析,安全运营


cover_image

恶意代理技能可以窃取凭证、提取源代码并安装后门

原创

ZM ZM

暗镜

2026年7月13日 00:00 北京

在小说阅读器读本章

去阅读

恶意人工智能代理技能可以被打包,用于窃取凭证、窃取源代码和安装后门,同时还能绕过许多当前的技能审计系统。

该论文发现,静态扫描器在有效载荷保留规避方面尤其薄弱,而运行时行为审计则要强大得多。

核心威胁虽然简单,但却十分严重:代理技能不仅仅是文本,而是一组结构化的指令、脚本和资源,编码代理可以以广泛的权限执行这些指令、脚本和资源。

在该论文的威胁模型中,一个被污染的技能在安装时可能看起来无害,但在代理运行它时仍然会触发凭证窃取、数据泄露或投放器执行。

作者介绍了 SKILLCLOAK,这是一个规避框架,它既能保留恶意行为,又能将其隐藏起来,使其不被扫描器发现。

它使用结构混淆来重写可疑的令牌、命令、URL 和凭据路径,并使用自解压技能打包来隐藏真正的有效载荷,直到执行时才暴露出来。

根据 Arxiv 的说法,在对 1,613 种实际恶意技能进行测试后,这些隐形装置击败了大多数受调查的扫描器,其中一些变种甚至绕过了 90% 以上的扫描器。更令人担忧的是,伪装并未削弱恶意软件的效用。该论文指出,在诸如 Claude Code和 Codex 等生产代理环境下,伪装后的技能仍然有效,任务成功率或执行路径相似度均未出现统计学意义上的下降。

换句话说,那些能够逃避检测的技术仍然可以像恶意软件一样运行。

为了应对这一问题,本文提出了 SKILLDETONATE,一种以行为为中心的运行时审计工具。它并非根据技能的表面表现来判断其安全性,而是在沙箱环境中运行技能,并监控操作系统边界处与安全相关的行为,包括文件访问、数据流和网络出口。

在 SkillJect 基准测试中,SKILLDETONATE 检测到了 96.7% 的攻击,误报率为 2%,并且在原始、混淆和打包的变体中都保持了稳健性。

一个无害的 SKILL.md 封面指示代理运行一个小型解码脚本,并链接到解码将生成的 WORKFLOW.md。

实际风险在于人工智能编码环境的供应链遭到破坏。恶意技能可以从本地文件中读取机密信息,将其传递到代理上下文,然后发送到外部端点;或者它可以投放脚本和二进制文件,从而在开发者机器上建立持久化保护。

这使得代理技能成为软件团队新的高价值攻击面,尤其是在第三方技能未经严格审查就被导入的情况下。

本文的核心观点是,安装时的信任检查已不再足够。如果恶意逻辑隐藏在打包、混淆或运行时重构之后,那么防御者需要检查该技术在执行时的实际行为,而不仅仅是它在磁盘上的样子。

本文将研究结果与之前关于恶意代理技能、间接提示注入和经典恶意软件规避的研究成果进行了比较。

报告还提及了技能扫描器生态系统的不断发展,以及此前关于人工智能代理环境中凭证泄露和供应链攻击的报道。这些因素表明,这并非孤立事件,而更像是一种快速发展的攻击类型。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 ZM ZM《恶意代理技能可以窃取凭证、提取源代码并安装后门》

推荐两个远程控制开发专栏 网络安全文章

推荐两个远程控制开发专栏

文章总结: 本文推荐两个远程控制开发专栏:用AI带你从零开发大型商业远程控制软件和安全工程专栏导航从银狐源码学安全工程。内容为软文推广,提供学习资源链接,适合对
评论:0   参与:  0