Anthropic Skillスキャナーを回避する悪意のあるコード:テストファイル経由の攻撃
Anthropic Skill scanners passed every check. The malicious code rode in on a test file.
記事のポイント
📰ニュース
Anthropic Skillのスキャナーが検知できない、テストファイルを利用した新たな攻撃手法が発見されました。
🔍注目ポイント
テストファイルはエージェントの実行表面外にあるため、既存のスキャナーは検査せず、開発環境で実行され機密情報にアクセス可能です。
🔮これからどうなる
開発者が悪意のあるSkillをインストールすると、チーム全体にマルウェアが拡散し、企業や個人の機密情報が漏洩するリスクがあります。
Gecko Securityの研究者が、悪意のあるテストファイルが開発者のローカル環境で実行され、ファイルシステムや環境変数、SSHキーにアクセスできることを実証しました。
この攻撃は、npmのpostinstallスクリプトなど既存の信頼ベースの攻撃に似ていますが、Skillがチーム間で共有されるディレクトリにインストールされるため、より広範囲に影響を及ぼします。
既存のセキュリティ監査では、エージェントの実行表面を検査するのみで、テストファイルのような盲点が残されていました。
この攻撃は、npmのpostinstallスクリプトなど既存の信頼ベースの攻撃に似ていますが、Skillがチーム間で共有されるディレクトリにインストールされるため、より広範囲に影響を及ぼします。
既存のセキュリティ監査では、エージェントの実行表面を検査するのみで、テストファイルのような盲点が残されていました。
AIエージェントのセキュリティはまだ発展途上ですね。開発者の皆さんは、Skillをインストールする際に、テストファイルまで含めて信頼できるソースか確認した方が良さそうです。