🌟 Atualização imperdível para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Scanners destinados a capturar "habilidades" complementares maliciosas para agentes de codificação de IA podem ser enganados por algumas mudanças simples que deixam o malware funcionando, de acordo com um novo estudo de pesquisadores da Universidade de Ciência e Tecnologia de Hong Kong.
Seu truque mais forte passou despercebido em todos os scanners testados mais de 90% das vezes, e a mesma equipe construiu um verificador de tempo de execução que detecta a maioria das habilidades disfarçadas que os scanners perdem.
Habilidades são pequenos pacotes, geralmente um arquivo de instruções Markdown mais alguns scripts, que agentes como Claude Code, OpenAI Codex e OpenClaw carregam para adquirir um novo recurso. Como uma habilidade é apenas um pacote de arquivos, a mesma habilidade pode ser executada em diferentes agentes. E funciona com acesso do próprio agente: seus arquivos, seu terminal, suas senhas salvas.
Um malware pode roubar credenciais, copiar o código-fonte ou instalar um backdoor. A maior parte do que um mercado público lista é carregada por estranhos com pouca verificação.
A principal defesa até agora tem sido o scanner de habilidades, que lê os arquivos de uma habilidade antes de você instalá-la e bloqueia qualquer coisa que pareça perigosa. O artigo, intitulado “Cloak and Detonate”, testa se isso realmente se sustenta. Isso não acontece. No entanto, derrotar scanners não é novidade.
O Hacker News cobriu pesquisadores que empurraram uma habilidade falsa para todos os scanners que encontraram, o que, segundo a própria contagem da empresa, atingiu dezenas de milhares de agentes. O que este artigo acrescenta é uma forma de fazer isso de forma sistemática, em escala, e uma defesa que ainda funciona quando funciona.
Como as habilidades disfarçadas passam
A ferramenta dos pesquisadores, SKILLCLOAK, reescreve uma habilidade maliciosa para parecer limpa e se comportar exatamente da mesma forma. Funciona de duas maneiras.
O mais leve reescreve os bytes gratuitos que um scanner digita, usando os próprios operadores do papel: troca um caractere por um semelhante de outro alfabeto ou divide um comando sinalizado em uma nova linha, para que o padrão do scanner não corresponda mais, mas o comando ainda é executado.
O mais pesado, o empacotamento autoextraível, move toda a carga útil para um diretório que o scanner ignora, como .git/, atrás de um decodificador de aparência inofensiva que reconstrói a habilidade somente quando o agente a executa. Os scanners ignoram esses diretórios para economizar tempo e eliminar alarmes falsos, que é exatamente o ponto cego que o truque explora.
Em oito scanners e 1.613 habilidades maliciosas reais extraídas do ClawHub, um mercado público, o truque da embalagem passou por cada um dos oito em mais de 90% das vezes, e pela maioria deles em mais de 99%.
A reescrita mais leve acertou mais de 80% na maioria dos scanners e 96% em um. E o disfarce não custa quase nada ao invasor: no Claude Code e no OpenAI Codex, as habilidades camufladas funcionaram tão bem quanto as originais.
Observando o que uma habilidade faz, não sua aparência
Como a aparência pode ser falsificada, os pesquisadores propõem a verificação do comportamento, em uma ferramenta que chamam de SKILLDETONATE. Ele executa a habilidade em um sandbox e observa o que faz no nível do sistema operacional: o que lê, o que grava, para onde envia os dados.
Duas ideias fazem com que funcione para os agentes. Ele rastreia dados confidenciais por onde eles fluem, e não pela aparência, para que base64 ou criptografia não os prejudiquem. E ele executa as instruções que uma habilidade desenvolve apenas em tempo de execução, que é exatamente onde o truque de empacotamento esconde sua carga útil.
Em um teste controlado, o verificador detectou 97% dos ataques enquanto sinalizava erroneamente 2% das habilidades seguras, uma taxa de alarmes falsos menor do que a dos scanners que ele vence, e manteve-se estável quando as habilidades foram camufladas. Em habilidades maliciosas do mundo real, capturou 87%.
O scanner da Cisco, o mais forte testado, seguiu o caminho inverso: detectou 99% das habilidades do mundo real antes da camuflagem e cerca de 10% depois.
O problema é a velocidade, alguns minutos por habilidade contra os poucos segundos de um scanner, embora ele seja executado uma vez, antes de uma habilidade ser ativada. O trabalho é uma pré-impressão e ainda não foi revisado por pares; os pesquisadores divulgaram seu código.
Já está acontecendo na natureza
Nada disso é hipotético. Os mercados públicos já estão cheios de habilidades maliciosas que os scanners não estão impedindo: o Bitdefender descobriu cerca de 17% das habilidades verificadas em um mercado continham códigos maliciosos ocultos, e a Koi Security contou 341 em uma única campanha chamada ClawHavoc, conforme relatado pela THN, mais tarde 824 à medida que o mercado crescia.
Alguns usam os mesmos truques do jornal. Das cinco habilidades evasivas que a Unidade 42 encontrou ainda ativas no ClawHub apesar de sua digitalização integrada, uma, omnicogg, preencheu seu README com 22 MB de lixo para passar pelo limite de tamanho do scanner, o mesmo operador de preenchimento de tamanho que o papel testa. Mais dois entregaram ladrões de senhas para Mac e dois sequestraram a consultoria financeira do agente para divulgar links de afiliados e fraudar lançamentos de moedas meme.
A lacuna no tempo de execução também aparece fora dos mercados de habilidades. Um repositório GitHub de aparência limpa recentemente levou Claude Code a abrir um shell reverso na própria máquina do desenvolvedor
Seu truque mais forte passou despercebido em todos os scanners testados mais de 90% das vezes, e a mesma equipe construiu um verificador de tempo de execução que detecta a maioria das habilidades disfarçadas que os scanners perdem.
Habilidades são pequenos pacotes, geralmente um arquivo de instruções Markdown mais alguns scripts, que agentes como Claude Code, OpenAI Codex e OpenClaw carregam para adquirir um novo recurso. Como uma habilidade é apenas um pacote de arquivos, a mesma habilidade pode ser executada em diferentes agentes. E funciona com acesso do próprio agente: seus arquivos, seu terminal, suas senhas salvas.
Um malware pode roubar credenciais, copiar o código-fonte ou instalar um backdoor. A maior parte do que um mercado público lista é carregada por estranhos com pouca verificação.
A principal defesa até agora tem sido o scanner de habilidades, que lê os arquivos de uma habilidade antes de você instalá-la e bloqueia qualquer coisa que pareça perigosa. O artigo, intitulado “Cloak and Detonate”, testa se isso realmente se sustenta. Isso não acontece. No entanto, derrotar scanners não é novidade.
O Hacker News cobriu pesquisadores que empurraram uma habilidade falsa para todos os scanners que encontraram, o que, segundo a própria contagem da empresa, atingiu dezenas de milhares de agentes. O que este artigo acrescenta é uma forma de fazer isso de forma sistemática, em escala, e uma defesa que ainda funciona quando funciona.
Como as habilidades disfarçadas passam
A ferramenta dos pesquisadores, SKILLCLOAK, reescreve uma habilidade maliciosa para parecer limpa e se comportar exatamente da mesma forma. Funciona de duas maneiras.
O mais leve reescreve os bytes gratuitos que um scanner digita, usando os próprios operadores do papel: troca um caractere por um semelhante de outro alfabeto ou divide um comando sinalizado em uma nova linha, para que o padrão do scanner não corresponda mais, mas o comando ainda é executado.
O mais pesado, o empacotamento autoextraível, move toda a carga útil para um diretório que o scanner ignora, como .git/, atrás de um decodificador de aparência inofensiva que reconstrói a habilidade somente quando o agente a executa. Os scanners ignoram esses diretórios para economizar tempo e eliminar alarmes falsos, que é exatamente o ponto cego que o truque explora.
Em oito scanners e 1.613 habilidades maliciosas reais extraídas do ClawHub, um mercado público, o truque da embalagem passou por cada um dos oito em mais de 90% das vezes, e pela maioria deles em mais de 99%.
A reescrita mais leve acertou mais de 80% na maioria dos scanners e 96% em um. E o disfarce não custa quase nada ao invasor: no Claude Code e no OpenAI Codex, as habilidades camufladas funcionaram tão bem quanto as originais.
Observando o que uma habilidade faz, não sua aparência
Como a aparência pode ser falsificada, os pesquisadores propõem a verificação do comportamento, em uma ferramenta que chamam de SKILLDETONATE. Ele executa a habilidade em um sandbox e observa o que faz no nível do sistema operacional: o que lê, o que grava, para onde envia os dados.
Duas ideias fazem com que funcione para os agentes. Ele rastreia dados confidenciais por onde eles fluem, e não pela aparência, para que base64 ou criptografia não os prejudiquem. E ele executa as instruções que uma habilidade desenvolve apenas em tempo de execução, que é exatamente onde o truque de empacotamento esconde sua carga útil.
Em um teste controlado, o verificador detectou 97% dos ataques enquanto sinalizava erroneamente 2% das habilidades seguras, uma taxa de alarmes falsos menor do que a dos scanners que ele vence, e manteve-se estável quando as habilidades foram camufladas. Em habilidades maliciosas do mundo real, capturou 87%.
O scanner da Cisco, o mais forte testado, seguiu o caminho inverso: detectou 99% das habilidades do mundo real antes da camuflagem e cerca de 10% depois.
O problema é a velocidade, alguns minutos por habilidade contra os poucos segundos de um scanner, embora ele seja executado uma vez, antes de uma habilidade ser ativada. O trabalho é uma pré-impressão e ainda não foi revisado por pares; os pesquisadores divulgaram seu código.
Já está acontecendo na natureza
Nada disso é hipotético. Os mercados públicos já estão cheios de habilidades maliciosas que os scanners não estão impedindo: o Bitdefender descobriu cerca de 17% das habilidades verificadas em um mercado continham códigos maliciosos ocultos, e a Koi Security contou 341 em uma única campanha chamada ClawHavoc, conforme relatado pela THN, mais tarde 824 à medida que o mercado crescia.
Alguns usam os mesmos truques do jornal. Das cinco habilidades evasivas que a Unidade 42 encontrou ainda ativas no ClawHub apesar de sua digitalização integrada, uma, omnicogg, preencheu seu README com 22 MB de lixo para passar pelo limite de tamanho do scanner, o mesmo operador de preenchimento de tamanho que o papel testa. Mais dois entregaram ladrões de senhas para Mac e dois sequestraram a consultoria financeira do agente para divulgar links de afiliados e fraudar lançamentos de moedas meme.
A lacuna no tempo de execução também aparece fora dos mercados de habilidades. Um repositório GitHub de aparência limpa recentemente levou Claude Code a abrir um shell reverso na própria máquina do desenvolvedor
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #skillcloak #permite #que #habilidades #maliciosas #de #agentes #de #ia #evitem #scanners #estáticos #com #embalagem #autoextraível
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário