Un'abilità di agente AI falsa ha superato ogni scanner di sicurezza e ha raggiunto, secondo quanto riportato, 26.000 agenti.

      TL;DRLa società di sicurezza AIR ha fatto passare una skill falsa attraverso ogni scanner principale e afferma di aver raggiunto 26.000 agenti sostituendo un URL esterno dopo che la scansione è stata superata.

      La società di sicurezza AIR ha creato una skill falsa per agenti AI, l'ha spinta attraverso un popolare marketplace di skill e l'ha promossa con un annuncio su Instagram, affermando di aver raggiunto circa 26.000 agenti, inclusi alcuni su account aziendali. Ogni scanner di sicurezza delle skill contro cui la società l'ha testata l'ha contrassegnata come sicura. Il payload era innocuo per design, raccogliendo solo l'indirizzo email dell'utente, ma AIR afferma che un attaccante reale avrebbe potuto utilizzare lo stesso punto d'appoggio per leggere file, spostare dati o colpire sistemi interni.

      La skill, chiamata brand-landingpage, affermava di costruire una pagina di atterraggio utilizzando lo strumento di design Stitch di Google ed era destinata a utenti non tecnici. Per renderla credibile, AIR ha puntato a due segnali di fiducia che l'ecosistema continua a trattare come prova di sicurezza: stelle di GitHub e un verdetto di scanner pulito.

      Per le stelle, ha aperto una pull request a un repository di marketplace di skill con circa 36.000 stelle e 156 skill. La pull request è stata unita dopo pochi giorni, quindi la skill ha ereditato il conteggio delle stelle del repository. Poi AIR ha lanciato un annuncio su Instagram mirato a marketer, venditori e designer, che l'hanno installata e messa al lavoro.

      Gli scanner testati da AIR analizzano il pacchetto che gli viene fornito, il che significa il file di definizione della skill e qualsiasi cosa venga spedita con esso. Ciò include strumenti di Cisco, NVIDIA e quelli integrati nei principali registri di skill. La skill di AIR non conteneva istruzioni di configurazione dannose, ma diceva all'agente di installare il "Stitch SDK" seguendo la documentazione a un link esterno che controllava, non il dominio Google genuino.

      Il 💜 della tecnologia UE

      Le ultime voci dalla scena tecnologica dell'UE, una storia dal nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora!

      All'inizio, il link portava alla vera documentazione di Stitch, quindi gli scanner vedevano un pacchetto pulito che puntava a una pagina di configurazione plausibile e lo hanno approvato. La pagina che l'agente avrebbe effettivamente recuperato e seguito si trovava al di fuori della scansione. Una volta che la skill è stata ampiamente installata, AIR ha sostituito la pagina dietro quel link con una che diceva all'agente di scaricare e eseguire uno script.

      La tecnica non è nuova. Tre settimane prima che AIR pubblicasse i suoi risultati, Trail of Bits ha eluso il rilevatore di skill dannose di ClawHub, lo scanner di Cisco e tutti e tre gli scanner integrati nei principali registri di skill. La sua conclusione era che uno scanner controlla un pacchetto fisso mentre un attaccante può continuare a modificare il payload fino a quando non passa.

      Campagne reali hanno utilizzato lo stesso trucco per mesi, mantenendo la skill inviata pulita e ospitando il payload su un sito che l'agente recupera solo al momento dell'installazione.

      Il problema è strutturale. La scansione avviene una sola volta, ma la pagina a cui una skill punta l'agente può essere riscritta in qualsiasi momento successivo. La documentazione di Anthropic avverte che le skill che recuperano URL esterni sono rischiose per questo motivo, poiché il contenuto può cambiare dopo che la skill è stata verificata.

      Ricerche separate di quest'anno hanno scoperto che sette scanner principali concordano su meno di uno su cinquecento dei loro flag combinati, perché ciascuno giudica una skill in isolamento, cieco ai link esterni e a ciò che cambia dopo la revisione.

      Le cifre di scala provengono solo da AIR e meritano una lettura scettica. La società sta lanciando un marketplace di skill gestito e chiude il suo resoconto promuovendolo, quindi il numero di 26.000, il dettaglio dell'account aziendale e l'affermazione che potrebbe aver preso il pieno controllo di ogni agente non sono confermati in modo indipendente. Ciò che regge è il metodo: gli scanner nominati giudicano davvero solo il pacchetto inviato, il punto cieco del link esterno è reale ed è stato dimostrato in modo indipendente, e i segnali di fiducia presi in prestito da AIR, stelle e una scansione pulita, sono esattamente quelli che l'ecosistema continua a trattare come prova.

      L'esperimento allinea ogni debole segnale di fiducia attorno alle skill degli agenti in un'unica esecuzione: stelle che possono essere prese in prestito, una scansione che legge uno snapshot e un link che può essere riscritto dopo che il controllo è stato superato. Che la cifra reale sia 26.000 o una frazione di essa, il divario che attraversa è uno che i difensori non hanno ancora chiuso.

      Per i team di sicurezza, l'immediata conclusione è la stessa su cui i ricercatori continuano a insistere: trattare le skill come software, non come testo, e verificare a cosa punta una skill, non solo cosa viene spedito al suo interno. Instradare nuove skill attraverso una fonte unica che controlli, ricontrollarle quando qualcosa cambia, fissare versioni e mantenere gli agenti al minimo privilegio.