Hong Kong Bilim ve Teknoloji Üniversitesi'nden araştırmacılar, yapay zeka kodlama ajanlarına yönelik kötü amaçlı 'yetenek' eklentilerini tespit etmek için tasarlanan tarayıcıların, basit değişikliklerle nasıl kandırılabileceğini gösteren bir çalışma yayınladı. 'Cloak and Detonate' başlıklı makalede, araştırmacıların geliştirdiği SkillCloak aracı, zararlı bir yeteneği, davranışını değiştirmeden temiz görünecek şekilde yeniden yazabiliyor. Bu yöntemler arasında en güçlüsü olan kendi kendini çıkartan paketleme tekniği, test edilen sekiz tarayıcının tamamını %90'ın üzerinde bir başarıyla atlatırken, çoğunu %99'dan fazla oranda geçmeyi başardı. Aynı ekip, bu gizlenmiş yetenekleri yakalamak için SkillDetonate adlı bir çalışma zamanı denetleyicisi de geliştirdi.
Yetenekler, Claude Code, OpenAI Codex ve OpenClaw gibi ajanların yeni bir yetenek kazanmak için yüklediği küçük paketlerdir. Genellikle bir Markdown talimat dosyası ve birkaç betikten oluşur ve ajanın kendi erişim yetkileriyle çalışır: kullanıcının dosyaları, terminali ve kayıtlı şifreleri. Kötü niyetli bir yetenek, kimlik bilgilerini çalabilir, kaynak kodunu kopyalayabilir veya bir arka kapı kurabilir. Kamuya açık pazarlarda listelenen yeteneklerin çoğu, çok az denetimle yabancılar tarafından yüklenmektedir. Şu ana kadar ana savunma mekanizması, bir yeteneği yüklemeden önce dosyalarını okuyan ve tehlikeli görünen her şeyi engelleyen yetenek tarayıcılarıydı. Ancak bu çalışma, bu tarayıcıların sistematik olarak nasıl atlatılabileceğini gösteriyor.
SkillCloak'ın iki ana yöntemi var. Hafif olanı, tarayıcının odaklandığı şüpheli baytları yeniden yazar: örneğin, bir karakteri başka bir alfabeden benzer görünümlü bir karakterle değiştirir veya işaretlenmiş bir komutu yeni satıra bölerek tarayıcının deseninin eşleşmemesini sağlarken komutun çalışmasını sürdürür. Daha ağır olan kendi kendini çıkartan paketleme yöntemi ise tüm yükü, tarayıcının atladığı bir dizine (örneğin .git/) taşır ve zararsız görünen bir kod çözücü arkasına gizler; bu kod çözücü, yeteneği yalnızca ajan çalıştırdığında yeniden oluşturur. Tarayıcılar, zaman kazanmak ve yanlış alarmları azaltmak için bu tür dizinleri atlar, bu da tam olarak bu tekniğin kullandığı kör noktadır. Testlerde, bu paketleme yöntemi 1.613 gerçek kötü amaçlı yetenek üzerinde denendi ve her tarayıcıyı %90'ın üzerinde, çoğunu %99'un üzerinde atlattı.
Görünüm taklit edilebildiği için araştırmacılar, bunun yerine davranışı izlemeyi öneriyor. SkillDetonate adlı araç, yeteneği bir kum havuzunda çalıştırıyor ve işletim sistemi düzeyinde ne okuduğunu, ne yazdığını ve verileri nereye gönderdiğini izliyor. Hassas verileri görünümünden ziyade akışına göre takip ettiği için base64 veya şifreleme onu yanıltmıyor. Ayrıca, bir yeteneğin yalnızca çalışma zamanında oluşturduğu talimatları çalıştırıyor, bu da paketleme tekniğinin yükünü gizlediği yer. Kontrollü testlerde, denetleyici saldırıların %97'sini yakalarken, güvenli yeteneklerin yalnızca %2'sini yanlışlıkla işaretledi; bu, yendiği tarayıcılardan daha düşük bir yanlış alarm oranı. Gerçek dünyadaki kötü amaçlı yeteneklerde ise %87'sini yakaladı. Ancak hızı bir dezavantaj: yetenek başına birkaç dakika sürerken, tarayıcılar birkaç saniyede sonuç veriyor. Yine de bu, yetenek canlıya çıkmadan önce bir kez çalıştırılıyor. Araştırma henüz hakem değerlendirmesinden geçmedi ve ekip kodlarını yayınladı.