SkillCloak: Yapay Zeka Ajanlarını Hedef Alan Kötü Amaçlı Yetenekler Statik Tarayıcıları Atlatıyor Yazılım

SkillCloak: Yapay Zeka Ajanlarını Hedef Alan Kötü Amaçlı Yetenekler Statik Tarayıcıları Atlatıyor

SkillCloak, AI ajanlarının yeteneklerini gizleyerek statik tarayıcıları atlatıyor. Yeni bir savunma olan SKILLDETONATE ise çalışma zamanı davranış ana

Hong Kong Bilim ve Teknoloji Üniversitesi'nden araştırmacılar, yapay zeka kodlama ajanları için geliştirilen kötü amaçlı 'yetenek' eklentilerinin statik tarayıcılar tarafından tespit edilmesini zorlaştıran bir yöntem keşfetti. SkillCloak adı verilen araç, zararlı bir yeteneği görünüşte temiz gösterirken aynı işlevselliği koruyor. En güçlü gizleme tekniği, test edilen tüm tarayıcıların %90'ından fazlasını atlatmayı başarırken, araştırmacılar aynı ekibin geliştirdiği SKILLDETONATE adlı çalışma zamanı denetleyicisi, bu gizlenmiş yeteneklerin çoğunu yakalıyor.

Yetenekler, Claude Code, OpenAI Codex ve OpenClaw gibi ajanların yeni bir yetenek kazanmak için yüklediği küçük paketlerdir (genellikle bir Markdown talimat dosyası ve birkaç betik). Bir yetenek, ajanın kendi erişim izinleriyle çalıştığı için (dosyalar, terminal, kayıtlı şifreler) kötü niyetli bir yetenek kimlik bilgilerini çalabilir, kaynak kodunu kopyalayabilir veya arka kapı kurabilir. Şu ana kadarki ana savunma, yetenek dosyalarını yüklemeden önce tarayan ve tehlikeli görünenleri engelleyen yetenek tarayıcılarıydı. Ancak 'Cloak and Detonate' başlıklı makale, bu savunmanın yetersiz kaldığını gösteriyor.

SkillCloak'ın iki temel yöntemi var: Hafif olanı, tarayıcının odaklandığı baytları yeniden yazarak (örneğin bir karakteri başka alfabeden benzeriyle değiştirme veya bayrak komutunu yeni satıra bölme) tarayıcının desen eşleştirmesini atlatıyor. Ağır olanı ise 'kendi kendini açan paketleme' ile tüm yükü, tarayıcının atladığı .git/ gibi bir dizine taşıyor ve sadece ajan çalıştırdığında yeteneği yeniden oluşturan bir kod koyuyor. Sekiz tarayıcı ve 1.613 gerçek kötü amaçlı yetenek üzerinde yapılan testte, paketleme yöntemi her tarayıcıyı %90'ın üzerinde, çoğunu ise %99'un üzerinde atlattı. Hafif yeniden yazma ise çoğu tarayıcıda %80'den, birinde %96'dan fazla başarı elde etti.

Araştırmacılar, görünüşün aldatılabileceğini belirterek davranış temelli bir savunma öneriyor: SKILLDETONATE. Bu araç, yeteneği bir kum havuzunda çalıştırıp işletim sistemi düzeyinde ne okuduğunu, ne yazdığını ve veriyi nereye gönderdiğini izliyor. Hassas verileri akışına göre takip ederek base64 veya şifreleme gibi yöntemleri aşarken, çalışma zamanında oluşturulan talimatları da yakalıyor. Kontrollü testlerde %97 saldırı tespit oranı ve %2 yanlış alarm oranıyla tarayıcılardan daha iyi performans gösterdi. Ancak hız dezavantajı var: her yetenek için birkaç dakika gerekirken tarayıcılar saniyeler içinde sonuç veriyor. Makale henüz akran denetiminden geçmemiş olsa da, araştırmacılar kodlarını yayınladı.

Paylaş: