SkillCloak, Kötü Amaçlı Yapay Zeka Aracısı Becerilerinin Kendiliğinden Açılan Paketlemeyle Statik Tarayıcılardan Kaçmasını Sağlıyor Yazılım

SkillCloak, Kötü Amaçlı Yapay Zeka Aracısı Becerilerinin Kendiliğinden Açılan Paketlemeyle Statik Tarayıcılardan Kaçmasını Sağlıyor

Hong Kong Bilim ve Teknoloji Üniversitesi'ndeki araştırmacılar tarafından yapılan yeni bir araştırmaya göre, AI kodlama aracıları için kötü amaçlı ekl...

Hong Kong Bilim ve Teknoloji Üniversitesi'ndeki araştırmacılar tarafından yapılan yeni bir araştırmaya göre, AI kodlama aracıları için kötü amaçlı eklenti "becerileri" yakalamayı amaçlayan tarayıcılar, kötü amaçlı yazılımı çalışır durumda bırakan birkaç basit değişiklikle kandırılabilir.

En güçlü numaraları, test edilen tüm tarayıcıların %90'ından fazlasında başarılı oldu ve aynı ekip, tarayıcıların gözden kaçırdığı gizli becerilerin çoğunu yakalayan bir çalışma zamanı denetleyicisi geliştirdi.

Beceriler, Claude Code, OpenAI Codex ve OpenClaw gibi aracıların yeni bir yetenek edinmek için yüklediği, genellikle bir Markdown talimat dosyası artı birkaç komut dosyasından oluşan küçük paketlerdir. Bir beceri yalnızca bir dosya paketi olduğundan, aynı beceri farklı aracılar arasında çalıştırılabilir. Ve aracının kendi erişimiyle çalışır: dosyalarınız, terminaliniz, kayıtlı şifreleriniz.

Kötü bir tanesi kimlik bilgilerini çalabilir, kaynak kodunu kopyalayabilir veya bir arka kapı kurabilir. Halka açık bir pazar yerinin listelediği şeylerin çoğu, çok az incelemeye sahip yabancılar tarafından yükleniyor.

Şu ana kadarki ana savunma, beceriyi yüklemeden önce becerinin dosyalarını okuyan ve tehlikeli görünen her şeyi engelleyen beceri tarayıcısı oldu. "Pelerin ve Patlatma" başlıklı makale bunun gerçekten geçerli olup olmadığını test ediyor. Değil. Ancak tarayıcıları yenmek yeni değil.

Hacker News, sahte bir beceriyi karşılaştığı her tarayıcının ötesine taşıyan araştırmacıları ele aldı ve firmanın kendi rakamlarına göre bu beceri on binlerce temsilciye ulaştı. Bu makalenin eklediği şey, bunu sistematik ve geniş ölçekte yapmanın bir yolu ve işe yaradığında da işe yarayan bir savunmadır.

Gizlenmiş beceriler nasıl geçer?

Gelecekte Ne Bekleniyor?

Araştırmacıların aracı SKILLCLOAK, tamamen aynı davranırken temiz görünmek için kötü niyetli bir beceriyi yeniden yazıyor. İki şekilde çalışır.

Daha hafif olan, kağıdın kendi operatörlerini kullanarak tarayıcının anahtarladığı dağıtılan baytları yeniden yazar: bir karakteri başka bir alfabeden benzer bir karakterle değiştirin veya işaretlenmiş bir komutu yeni bir satıra bölerek tarayıcının deseninin artık eşleşmemesini, ancak komutun çalışmaya devam etmesini sağlar.

Detaylar ve Etkileri

Daha ağır olan, kendi kendine açılan paketleme, tüm yükü, tarayıcının atladığı .git/ gibi bir dizine, beceriyi yalnızca aracı çalıştırdığında yeniden oluşturan, zararsız görünen bir kod çözücünün arkasına taşır. Tarayıcılar, zamandan tasarruf etmek ve yanlış alarmları engellemek için bu tür dizinleri atlar; bu da hilenin istismar ettiği kör noktadır.

Teknik Analiz

Halka açık bir pazar yeri olan ClawHub'dan alınan sekiz tarayıcı ve 1.613 gerçek kötü niyetli beceri karşısında, paketleme hilesi, sekiz tarayıcının her birini %90'dan fazla ve çoğunu da %99'dan fazla aştı.

Sonuç ve Değerlendirme

Daha hafif yeniden yazma, çoğu tarayıcıda %80'den fazlasını, bir tarayıcıda ise %96'yı temizledi. Ve kılık değiştirmenin saldırgana neredeyse hiçbir maliyeti yok: Claude Code ve OpenAI Codex'te gizlenmiş beceriler orijinalleri kadar işe yaradı.

Bir becerinin nasıl göründüğüne değil, ne yaptığına bakmak

Önemli Gelişmeler

Görünüş sahte olabileceğinden, araştırmacılar bunun yerine SKILLDETONATE adını verdikleri bir araçla davranışı kontrol etmeyi öneriyorlar. Beceriyi bir sanal alanda çalıştırır ve işletim sistemi düzeyinde ne yaptığını izler: ne okuduğunu, ne yazdığını, verileri nereye gönderdiğini.

Temsilcilerin işine yarayacak iki fikir var. Hassas verileri neye benzediğinden ziyade aktığı yere göre izler, böylece base64 veya şifreleme onu bozmaz. Ve bir becerinin oluşturduğu talimatları yalnızca çalışma zamanında çalıştırır; bu da tam olarak paketleme numarasının yükünü gizlediği yerdir.

Uzmanların Görüşleri

Kontrollü bir testte denetleyici, güvenli becerilerin %2'sini hatalı bir şekilde işaretlerken saldırıların %97'sini yakaladı; bu, yendiği tarayıcılardan daha düşük bir yanlış alarm oranıydı ve beceriler gizlendiğinde sabit kaldı. Gerçek dünyadaki kötü amaçlı becerilerde %87'yi yakaladı.

Test edilen en güçlü tarayıcı olan Cisco'nun tarayıcısı ise diğer yöne gitti: gerçek dünyadaki becerilerin %99'unu gizlemeden önce ve yaklaşık %10'unu yakaladı.

Nasıl Önlem Alınmalı?

İşin püf noktası hızdır; tarayıcının birkaç saniyesine karşı beceri başına birkaç dakika, ancak bir beceri yayınlanmadan önce bir kez çalışır. Çalışma bir ön baskıdır ve henüz hakem değerlendirmesinden geçmemiştir; araştırmacılar kodlarını yayınladılar.

Zaten vahşi doğada oluyor

Sistem Güvenliği

Bunların hiçbiri varsayımsal değil. Halka açık pazar yerleri zaten tarayıcıların durduramadığı kötü niyetli becerilerle dolu: Bitdefender, bir pazar yerinde kontrol ettiği becerilerin kabaca %17'sinin gizli kötü amaçlı kod taşıdığını buldu ve Koi Security, ClawHavoc adlı tek bir kampanyada 341 saydı, THN'nin bildirdiği gibi daha sonra pazar büyüdükçe 824'e çıktı.

Bazıları gazetenin tam hilelerini kullanıyor. Birim 42'nin, yerleşik taramasına rağmen ClawHub'da hala çalışır durumda bulunan beş kaçınma becerisinden biri, omnicogg, tarayıcının boyut sınırını aşmak için README'sini 22 MB önemsiz dosyayla doldurdu; aynı boyut doldurma operatörü, kağıdı est. İki Mac şifre hırsızı daha teslim edildi ve ikisi, satış ortağı bağlantılarını iletmek ve meme-coin lansmanlarına hile karıştırmak için temsilcinin mali tavsiyesini ele geçirdi.

Çalışma zamanı farkı, beceri pazarlarının dışında da ortaya çıkıyor. Temiz görünümlü bir GitHub deposu yakın zamanda Claude Code'un geliştiricinin kendi makinesinde bir ters kabuk açmasına ve saldırganın uzaktan kontrolünü teslim etmesine yol açtı. Kötü amaçlı kod hiçbir zaman depoda yer almadı; kurulum betiği onu çalışma zamanında bir DNS kaydından getirdi, bu nedenle statik taramanın yakalayacak hiçbir şeyi yoktu. Mozilla'nın 0DIN ekibi zincirin izini sürdü.

İlgili bir hata, aracıların Model Bağlam Protokolü aracılığıyla okuduğu araç açıklamalarında ortaya çıkar. Microsoft, araç onaylandıktan sonra değiştirilen zehirli açıklamanın, bir finans temsilcisini sessizce ödenmemiş faturaları sızdırmaya ittiği konusunda uyardı. Mekanizma farklıdır ancak hatalı varsayım aynıdır: İncelemeden geçen şey çalıştırılan şeydir.

Birkaç sınırı açıkça belirtmeye değer. Henüz hiç kimse saldırganları bu paketleme hilelerini geniş ölçekte kullanarak yakalamadı; Buradaki gerçek dünyadaki vakalar, SKILLCLOAK'ın kendisi değil, bitişik kaçınmalardır. Çalışma zamanı denetleyicisi, laboratuvarda güçlü olan ancak canlı bir pazarda veya aktif olarak ondan kaçmaya çalışan bir saldırganın altında test edilmemiş bir araştırma prototipidir. Ve her performans numarası, hakem incelemesinden geçmemiş bir makaleden yazarlara aittir. Yön açıkça kanıtlanmıştır; spesifik rakamlar, tek bir grubun erken dönem çalışmaları nedeniyle olağan dikkati hak ediyor.

Gerçek ders budur ve büyüyen bir çalışma alanının birleştiği nokta burasıdır. Tarayıcı, bir beceriyi gönderildiğinde nasıl göründüğüne göre değerlendirir, ancak kötü niyetli davranış yalnızca beceri çalıştırıldığında, yani tarama geçtikten sonra ortaya çıkar. Dolayısıyla güven kararının pazar kapısından becerinin uygulandığı makineye taşınması gerekiyor.

Ne avlanmalı? Gazetenin kaçamak yanıtları, taramayı geçen bir beceride bile bir defans oyuncusunun arayabileceği işaretler bırakıyor:

.git/ veya build/ gibi tarayıcının atlama eğiliminde olduğu dizinlerde saklanan büyük veya yüksek entropili dosyalar.

veya . Kodu görünürde göndermek yerine, yalnızca çalıştırıldığında paketinden çıkaran veya bir araya getiren beceriler.

Dosyalar makul bir boyutun çok üzerinde dolguluydu; bu, bir beceriyi tarayıcının boyut sınırının altına kaydıran bir numaradır.

Bunların hiçbiri tek başına kanıt değildir. Onlar ucuz ilk bayraklardır, bir hüküm değil.

Kodlama aracıları kullanan ekipler için bu, "taramayı geçti" rozetini bir garanti değil, bir başlangıç ​​noktası haline getirir. Statik taramayı ucuz hijyen olarak tutun, ancak bir beceri çalışırken ne yaptığını izleyin: dokunduğu dosyalar, çalıştırdığı komutlar ve verileri nereye gönderdiği.

Makale aynı zamanda, taranırken bir beceriye sahip olmak ve daha sonra paketinden çıkan yükleri yakalamak için her çalıştırmadan önce yeniden kontrol etmek ve bir boyut sınırını aşan göz ardı edilen klasörler veya dolgu dosyalarındaki opak blobları gönderen becerileri işaretlemek gibi somut geçici çözümler de sunuyor. Bunların hiçbiri aradaki farkı kendi başına kapatmaz; asıl önemli nokta da budur: Dayanıklı savunma, çalışma zamanındaki davranışları izlemektir.

Bunun ötesinde, yalnızca denetlenmiş bir kaynaktan yükleyin, aracılara ihtiyaç duydukları en az erişimi verin ve onları, çalınmaya değer sırları barındıran makinelerde çalıştırmayın.

Paylaş: