Hong Kong Bilim ve Teknoloji Üniversitesi'ndeki araştırmacılar, yapay zeka kodlama ajanları için geliştirilen kötü niyetli 'becerileri' statik tarayıcılardan gizleyebilen SkillCloak adlı bir yöntem geliştirdi. Bu yöntem, test edilen tüm tarayıcıların %90'ından fazlasını atlatmayı başarırken, aynı ekip tarafından geliştirilen çalışma zamanı denetleyicisi, gizlenmiş becerilerin çoğunu yakalayabiliyor.
Beceriler, Claude Code, OpenAI Codex ve OpenClaw gibi ajanların yeni bir yetenek kazanmak için yüklediği küçük paketlerdir. Genellikle bir Markdown talimat dosyası ve birkaç scriptten oluşan bu paketler, ajanın kendi erişim izinleriyle çalışır. Kötü niyetli bir beceri, kimlik bilgilerini çalabilir, kaynak kodunu kopyalayabilir veya arka kapı kurabilir. Şu ana kadar ana savunma, beceriyi yüklemeden önce dosyalarını tarayan ve tehlikeli görünenleri engelleyen statik tarayıcılar oldu.
SkillCloak, kötü niyetli bir beceriyi temiz görünürken aynı şekilde davranacak şekilde yeniden yazar. Hafif yöntemde, tarayıcının odaklandığı baytları değiştirir; örneğin bir karakteri başka alfabeden benzerine çevirir veya işaretli bir komutu yeni satıra böler. Ağır yöntemde ise, tüm yükü tarayıcının atladığı .git/ gibi bir dizine taşır ve zararsız görünen bir kod çözücü arkasına gizler. Sekiz tarayıcı ve 1.613 gerçek kötü niyetli beceri üzerinde yapılan testlerde, paketleme yöntemi her bir tarayıcıyı %90'ın üzerinde atlatırken, çoğunda %99'un üzerinde başarı sağladı.
Araştırmacılar, görünümün taklit edilebildiği için davranışı izlemeyi öneriyor. SkillDetonate adlı araç, beceriyi bir kum havuzunda çalıştırarak işletim sistemi düzeyinde ne okuduğunu, ne yazdığını ve verileri nereye gönderdiğini izliyor. Testlerde, saldırıların %97'sini yakalarken, güvenli becerilerin yalnızca %2'sini yanlış işaretledi. Ancak bu yöntem, tarayıcıların birkaç saniyesine karşılık birkaç dakika sürüyor ve henüz hakem değerlendirmesinden geçmedi. Yine de, bu çalışma yapay zeka ajan güvenliğinde önemli bir açığı ortaya koyuyor.