Сканеры навыков проигрывают адаптивным атакам цепочек агентов

Сканеры “skills” в агентных маркетплейсах не выдерживают адаптивные атаки цепочек поставок: статические проверки легко обходятся простыми изменениями.

2026-06-13 GIGATAP Team #security
#software_supply_chain#agent_security#prompt_injection

Что изменилось в сканерах безопасности навыков#

Экосистемы агентов добавили новый класс зависимостей: “skills” из маркетплейсов. В отличие от пакетов, они смешивают код и инструкции на естественном языке. Поверхность атаки смещается от бинарного поведения к семантике.

Сканеры (например в ClawHub и у вендоров вроде Cisco) используют pattern matching, static analysis и LLM-оценку. В отчёте упомянуты пайплайны ClawHub (включая VirusTotal интеграцию и LLM-based inspection) и многосигнальные анализаторы Cisco-стиля.

Проблема не в инструментах, а в том, что статическая инспекция не успевает за адаптацией атакующих.

Работают ли сканеры навыков#

Нет, надёжно — нет.

Даже простая обфускация ломает детект. Добавление мусорных символов или переносов строк перед вредоносным контентом сбивает парсинг и внимание моделей. Другой приём — скрытие реальных инструкций в вложенных структурах или архивах, которые агент загружает отдельно.

Атакующие не используют сложную криптографию. Они эксплуатируют парсинг и интерпретацию.

Ключевая проблема — асимметрия итераций: атакующий может бесконечно перебирать варианты, а сканер работает в момент проверки.

Определение: поверхность атаки skill-based#

Skill-based attack surface — компоненты, распространяемые как “возможности” для агентов, включающие выполнение кода, tool calls и инструкции. Это не только функции, но и поведенческий intent.

Почему архитектурно ломается модель сканирования#

Статические сканеры предполагают:

  • полный анализ до исполнения
  • стабильность паттернов
  • вывод семантики из структуры

Skills нарушают все три:

  • интерпретируются агентом на runtime
  • легко модифицируются
  • зависят от контекста исполнения

Сравнение моделей контроля#

Модель Механизм Сильная сторона Слабая сторона
Static scanners Предустановка проверок Быстро и масштабируемо Легко обходится обфускацией
Curated distribution Ручная или gated проверка Высокая точность Медленно, не масштабируется
Runtime monitoring Проверка поведения Видит реальное выполнение Реактивно, может быть поздно

Последствия для supply chain#

Угроза выходит за пределы кода. Поведение становится единицей компрометации. Маркетплейсы ускоряют распространение рисков.

Модель смещается от детекции к containment: важнее ограничивать доступ, чем классифицировать идеально.

Что не стоит переоценивать#

Сканеры не бесполезны. Они ловят простые атаки. Но против адаптивного перебора они проигрывают.

Что проверить#

  • проверьте, изолирован ли execution в sandbox
  • проверьте возможные каналы exfiltration
  • проверьте наличие скрытых или косвенных инструкций
  • проверьте модель распространения (curated vs open upload)

FAQ#

Почему простые трюки обходят сканеры?#

Потому что анализируют структуру, а атакуют парсинг.

Это проблема одной платформы?#

Нет, любая открытая marketplace-модель уязвима к этим паттернам.

Главная слабость?#

Статическая проверка динамического поведения.