Yapay zeka kodlama ajanları için geliştirilen eklenti yeteneklerini (skills) tespit etmeye yönelik tarayıcılar, basit değişikliklerle kolayca atlatılabiliyor. Hong Kong Bilim ve Teknoloji Üniversitesi araştırmacılarının yaptığı yeni bir çalışma, bu güvenlik açığını gözler önüne seriyor. Araştırmacıların geliştirdiği en güçlü gizleme tekniği, test edilen tüm tarayıcıları %90'ın üzerinde bir başarıyla aşarken, aynı ekip bu gizlenmiş yetenekleri tespit edebilen bir çalışma zamanı denetleyicisi de oluşturdu.
SkillCloak adı verilen araç, kötü niyetli bir yeteneği temiz görünürken aynı işlevi yerine getirecek şekilde yeniden yazıyor. Hafif versiyonda, tarayıcının odaklandığı baytları farklı alfabelerden benzer karakterlerle değiştiriyor veya komutları yeni satırlara bölerek tarayıcının desen eşleştirmesini bozuyor. Daha ağır versiyon ise tüm yükü, tarayıcının atladığı .git/ gibi dizinlere taşıyarak zararsız görünen bir kod çözücü arkasına saklıyor. Bu yöntem, sekiz farklı tarayıcı ve 1.613 gerçek kötü amaçlı yetenek üzerinde yapılan testlerde her bir tarayıcıyı %90'ın üzerinde, çoğunu ise %99'dan fazla oranında atlattı.
Araştırmacılar, görünümün taklit edilebildiğini göz önünde bulundurarak, davranış temelli bir denetim aracı olan SkillDetonate'ı geliştirdi. Bu araç, yeteneği bir kum havuzunda çalıştırarak işletim sistemi seviyesinde ne okuduğunu, ne yazdığını ve verileri nereye gönderdiğini izliyor. Hassas verileri biçiminden ziyade akışına göre takip ederek base64 veya şifreleme gibi yöntemleri aşıyor. Kontrollü testlerde saldırıların %97'sini yakalarken, güvenli yeteneklerin yalnızca %2'sini yanlış işaretledi. Gerçek dünya kötü amaçlı yeteneklerinde ise %87 başarı oranı elde etti. Ancak bu yöntem, tarayıcıların saniyelerine karşılık birkaç dakika sürüyor.
Bu sorun yalnızca teorik değil; kamuya açık pazarlarda halihazırda tarayıcıların durduramadığı kötü amaçlı yetenekler bulunuyor. Bitdefender, bir pazardaki yeteneklerin yaklaşık %17'sinin gizli kötü amaçlı kod içerdiğini tespit ederken, Koi Security 341 kötü amaçlı yetenek saydı. Unit 42'nin bulduğu beş gizlenmiş yetenekten biri, 22 MB boyutunda gereksiz veri ekleyerek tarayıcının boyut sınırını aşmayı başardı. Ayrıca temiz görünen bir GitHub deposu, Claude Code'u geliştiricinin makinesinde ters kabuk açmaya yönlendirdi. Araştırmacılar, sonuçların ön baskı olduğunu ve hakem değerlendirmesinden geçmediğini, ancak büyüyen bir güvenlik açığına işaret ettiğini vurguluyor.