Фальшивый навык AI-агента прошел все системы безопасности и, по сообщениям, достиг 26 000 агентов.
TL;DRКомпания безопасности AIR провела фальшивый навык через все основные сканеры и утверждает, что он достиг 26,000 агентов, поменяв внешний URL после того, как сканирование прошло.
Компания безопасности AIR создала фальшивый навык AI-агента, продвинула его через популярный рынок навыков и рекламировала его с помощью рекламы в Instagram, утверждая, что он достиг примерно 26,000 агентов, включая некоторых на корпоративных аккаунтах. Каждый сканер безопасности навыков, против которого компания его тестировала, отметил его как безопасный. Пакет был безвредным по замыслу, собирая только адрес электронной почты пользователя, но AIR утверждает, что реальный злоумышленник мог бы использовать ту же точку доступа для чтения файлов, перемещения данных или атаки на внутренние системы.
Навык, названный brand-landingpage, утверждал, что создает целевую страницу с использованием инструмента дизайна Stitch от Google и был нацелен на нетехнических пользователей. Чтобы сделать его более правдоподобным, AIR использовала два сигнала доверия, которые экосистема все еще рассматривает как доказательство безопасности: звезды GitHub и чистый вердикт сканера.
Для звезд она открыла запрос на слияние в репозитории рынка навыков с примерно 36,000 звездами и 156 навыками. Запрос на слияние был объединен через несколько дней, так что навык унаследовал количество звезд репозитория. Затем AIR запустила рекламу в Instagram, нацеленную на маркетологов, продавцов и дизайнеров, которые установили его и начали использовать.
Сканеры, которые тестировала AIR, анализируют пакет, который вы им передаете, то есть файл определения навыка и все, что с ним отправляется. Это включает инструменты от Cisco, NVIDIA и те, которые встроены в основные реестры навыков. Навык AIR не содержал злонамеренных инструкций по настройке, но говорил агенту установить "Stitch SDK", следуя документации по внешней ссылке, которую он контролировал, а не по подлинному домену Google. 💜 технологий ЕСПоследние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и несколько сомнительных AI-артов. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!
Сначала ссылка вела к настоящей документации Stitch, поэтому сканеры видели чистый пакет, указывающий на правдоподобную страницу настройки, и одобрили его. Страница, которую агент на самом деле загружал и следовал, находилась вне сканирования. Как только навык был широко установлен, AIR заменила страницу за этой ссылкой на ту, которая говорила агенту загрузить и запустить скрипт.
Эта техника не нова. За три недели до публикации результатов AIR, Trail of Bits обошла детектор злонамеренных навыков ClawHub, сканер Cisco и все три сканера, встроенные в основные реестры навыков. Его вывод заключался в том, что сканер проверяет фиксированный пакет, в то время как злоумышленник может продолжать изменять нагрузку, пока она не пройдет.
Реальные кампании использовали тот же трюк в течение нескольких месяцев, поддерживая поданный навык чистым и размещая нагрузку на сайте, который агент загружает только во время установки.
Проблема структурная. Сканирование происходит один раз, но страницу, на которую навык указывает агента, можно переписать в любое время после этого. Собственная документация Anthropic предупреждает, что навыки, загружающие внешние URL, рискованны именно по этой причине, поскольку содержание может измениться после проверки навыка.
Отдельное исследование в этом году показало, что семь основных сканеров согласны менее чем с одной из пятисот их комбинированных флагов, потому что каждый из них оценивает навык в изоляции, не видя внешних ссылок и того, что изменяется после проверки.
Цифры масштаба исходят только от AIR и требуют скептического взгляда. Компания запускает управляемый рынок навыков и завершает свой отчет, предлагая его, так что число 26,000, деталь о корпоративных аккаунтах и утверждение, что она могла бы захватить полный контроль над каждым агентом, не подтверждены независимо. То, что подтверждается, это метод: названные сканеры действительно оценивают только поданный пакет, слепая зона внешних ссылок реальна и была независимо продемонстрирована, а сигналы доверия, которые AIR заимствовала, звезды и чистое сканирование, именно те, которые экосистема все еще рассматривает как доказательство.
Эксперимент объединяет каждый слабый сигнал доверия вокруг навыков агентов в одном запуске: звезды, которые можно заимствовать, сканирование, которое читает снимок, и ссылка, которую можно переписать после проверки. Независимо от того, является ли реальная цифра 26,000 или ее доля, разрыв, который она проходит, это тот, который защитники все еще не закрыли.
Для команд безопасности немедленный вывод такой же, как и тот, к которому продолжают приходить исследователи: рассматривайте навыки как программное обеспечение, а не текст, и проверяйте, на что указывает навык, а не только то, что отправляется внутри него. Направляйте новые навыки через единственный источник, который вы контролируете, перепроверяйте их, когда что-то меняется, фиксируйте версии и придерживайтесь принципа наименьших привилегий для агентов.
Other articles
Beyond the Savings: How Laifen is Making High-Quality Self-Care Reachable This Prime Day
The most effective upgrades are not necessarily the ones that instantly transform our lives. Instead, they tend to be the minor enhancements we incorporate into the daily routines we follow consistently. This includes how we begin our mornings, the habits that boost our confidence before leaving the house, and the rituals that help us relax […]
Enhance Your Daily Routine: Top Laifen Prime Day Offers to Explore Now
Prime Day has transformed into more than just a shopping event. For numerous shoppers, it has become a chance to invest in items that truly enhance daily life. Although televisions, laptops, and smart home devices frequently steal the spotlight, some of the most significant buys are those you utilize every day. This is precisely where Laifen comes in...
Netflix's latest horror game transforms your phone into a controller, and it rings while you play.
Featuring Zoë Kravitz and Sadie Sink, Unhinged immerses players in a hurricane blackout situation, turning your phone into both a flashlight and a vital connection.
I searched for the top Prime Day deals on Google hardware, and here are the standout selections.
Prime Day 2026 is offering some unexpectedly great discounts on Google products. From the Pixel 10 series and Nest cameras to the Pixel Watch 4 and Google TV Streamer, these are the deals you should take advantage of before the sale concludes on June 26.
A counterfeit AI agent skill successfully passed all security checks and is said to have reached 26,000 agents.
The security company AIR created an innocuous fake skill that successfully bypassed Cisco and NVIDIA scanners, claiming it reached 26,000 agents and highlighting a weakness in the skill vetting process.
Anthropic introduces Claude Tag, a perpetual AI assistant that resides in your Slack channels.
Anthropic has introduced Claude Tag in a research preview, an AI that is always active, monitors Slack conversations, understands company context, and actively highlights updates.
Фальшивый навык AI-агента прошел все системы безопасности и, по сообщениям, достиг 26 000 агентов.
Безопасная компания AIR создала безвредный фальшивый навык, прошла его через сканеры Cisco и NVIDIA и утверждает, что он достиг 26 000 агентов, выявив слепую зону в том, как проверяются навыки.