恶意Skills利用扫描规避技术攻击Claude Code和Codex

阅读量14037

发布时间 : 2026-07-07 16:59:30

一类新型恶意软件可绕过主流 AI 代码助手配套安全防护工具,隐蔽实施攻击。

研究人员发现,藏匿于代理技能包(Claude Code、OpenAI Codex 等工具所用小型扩展插件)内的恶意程序,可通过变形改造规避自动化安全扫描检测,同时完整保留全部恶意执行逻辑。

代理技能本质等同于插件,能为 AI 代码智能体按需拓展功能;这类技能包一般以文件夹形式分发,内含自然语言配置指令、执行脚本及配套资源文件。

该类技能包编写门槛低、传播便捷,自 2025 年末该格式正式推出后,短短数月内某公开平台上架技能总量便突破 4 万款。庞大的存量规模使其成为攻击者重点目标。技能包运行时将继承加载它的 AI 智能体全部权限,可直接访问开发者本地文件、保存的账号密码、各类第三方关联账户。

已有攻击者利用该权限漏洞投放伪装成实用工具的恶意技能包,窃取浏览器登录凭证、SSH 私钥,甚至加密货币钱包数据。

Arxiv 研究团队向《网络安全新闻》(CSN)发布专项报告,详细披露相关威胁实测过程:团队自研工具 SkillCloak,用于验证现有技能扫描工具能否识别经过伪装的恶意程序。

实测结果警示性极强:研究采集超 1600 份野外真实恶意技能样本,搭配 8 款主流扫描工具开展测试,经伪装处理后的恶意样本几乎全部成功绕过检测。

团队同时证实,恶意代码伪装操作不会破坏其原有功能;将伪装后的恶意技能包接入真实代码智能体环境运行,恶意载荷可完整执行预设窃取行为,攻击者采用伪装规避手段不会产生任何功能损耗。

攻击规避两大核心手段

该类恶意软件的扫描规避技术依托两种核心手段实现:

第一种为结构混淆混淆

针对高危特征内容(可疑系统指令、恶意域名、密码相关调用语句等)做等价改写,改写后程序执行逻辑不变,但扫描工具无法识别出风险特征。

第二种规避手段名为自解压技能封装

规避效果更强,不再仅对恶意代码做文本混淆,而是将完整恶意载荷藏匿于扫描工具默认忽略目录、加密乱码数据块等扫描盲区;仅当 AI 智能体实际启动技能包时,才动态还原并释放恶意代码。

扫描工具在静态检测阶段无法读取真实攻击载荷,几乎不存在可标记的风险特征。

实测数据显示:封装规避手段对所有被测扫描工具的绕过成功率超 90%;仅使用结构混淆手段,也能骗过超 80% 的检测工具。

该漏洞暴露现有检测体系底层缺陷:当前主流扫描工具仅基于技能包静态文本特征做判定,无法识别其安装运行后的真实恶意行为。

真实野外攻击实例警示

该威胁并非仅存在理论推演,名为 ClawHavoc 的攻击团伙已在公开技能市场投放数百款恶意技能包,相关统计显示受污染程序包数量超 300 款,跨生态统计的受害样本规模更高。

开发者一旦不知情安装此类恶意技能,设备将后台静默运行信息窃取程序,批量盗取本地登录记录、密钥串密码、加密钱包文件。

复盘同类安全事件的研究人员统一给出防护建议:严禁允许 AI 智能体自动执行技能包内置配置脚本,务必人工审阅脚本内容;对待来源不明的技能包,需等同于互联网陌生第三方程序,保持高度警惕。

为弥补传统静态扫描工具的短板,本次研究团队同步研发检测工具 SkillDetonate。该工具摒弃静态文本特征判定逻辑,将技能包投放至隔离沙箱环境动态运行,实时监控文件读写、网络外联、数据外传等行为轨迹。

实测中,这套基于行为分析的检测方案可拦截绝大多数恶意技能包,包括所有能绕过静态扫描的伪装恶意样本。

面向 AI 代码工具使用者的核心安全结论

所有使用 AI 代码辅助工具的开发者需牢记核心防护准则:安装前人工审阅技能源码仍有必要,但仅靠源码审查已不足以抵御新型攻击。

将陌生技能包置于隔离环境预运行、持续监控异常网络外联行为、严格限制 AI 智能体可访问的本地目录与凭证权限,已从可选防护措施转变为必备安全操作规范。

信息来源:cybersecuritynews.com

本文由安全客原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/315737

安全KER - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66