Что изменилось в сканерах безопасности навыков#
Экосистемы агентов добавили новый класс зависимостей: “skills” из маркетплейсов. В отличие от пакетов, они смешивают код и инструкции на естественном языке. Поверхность атаки смещается от бинарного поведения к семантике.
Сканеры (например в ClawHub и у вендоров вроде Cisco) используют pattern matching, static analysis и LLM-оценку. В отчёте упомянуты пайплайны ClawHub (включая VirusTotal интеграцию и LLM-based inspection) и многосигнальные анализаторы Cisco-стиля.
Проблема не в инструментах, а в том, что статическая инспекция не успевает за адаптацией атакующих.
Работают ли сканеры навыков#
Нет, надёжно — нет.
Даже простая обфускация ломает детект. Добавление мусорных символов или переносов строк перед вредоносным контентом сбивает парсинг и внимание моделей. Другой приём — скрытие реальных инструкций в вложенных структурах или архивах, которые агент загружает отдельно.
Атакующие не используют сложную криптографию. Они эксплуатируют парсинг и интерпретацию.
Ключевая проблема — асимметрия итераций: атакующий может бесконечно перебирать варианты, а сканер работает в момент проверки.
Определение: поверхность атаки skill-based#
Skill-based attack surface — компоненты, распространяемые как “возможности” для агентов, включающие выполнение кода, tool calls и инструкции. Это не только функции, но и поведенческий intent.
Почему архитектурно ломается модель сканирования#
Статические сканеры предполагают:
- полный анализ до исполнения
- стабильность паттернов
- вывод семантики из структуры
Skills нарушают все три:
- интерпретируются агентом на runtime
- легко модифицируются
- зависят от контекста исполнения
Сравнение моделей контроля#
| Модель | Механизм | Сильная сторона | Слабая сторона |
|---|---|---|---|
| Static scanners | Предустановка проверок | Быстро и масштабируемо | Легко обходится обфускацией |
| Curated distribution | Ручная или gated проверка | Высокая точность | Медленно, не масштабируется |
| Runtime monitoring | Проверка поведения | Видит реальное выполнение | Реактивно, может быть поздно |
Последствия для supply chain#
Угроза выходит за пределы кода. Поведение становится единицей компрометации. Маркетплейсы ускоряют распространение рисков.
Модель смещается от детекции к containment: важнее ограничивать доступ, чем классифицировать идеально.
Что не стоит переоценивать#
Сканеры не бесполезны. Они ловят простые атаки. Но против адаптивного перебора они проигрывают.
Что проверить#
- проверьте, изолирован ли execution в sandbox
- проверьте возможные каналы exfiltration
- проверьте наличие скрытых или косвенных инструкций
- проверьте модель распространения (curated vs open upload)
FAQ#
Почему простые трюки обходят сканеры?#
Потому что анализируют структуру, а атакуют парсинг.
Это проблема одной платформы?#
Нет, любая открытая marketplace-модель уязвима к этим паттернам.
Главная слабость?#
Статическая проверка динамического поведения.