Solo due mesi fa, i ricercatori del Laboratorio di Data Intelligence presso l’Università di Hong Kong introdotto CLI-Qualsiasi cosaun nuovo strumento all’avanguardia che analizza il codice sorgente di qualsiasi repository e genera un’interfaccia a riga di comando (CLI) strutturata che gli agenti di codifica AI possono utilizzare con un singolo comando.
Sono supportati Claude Code, Codex, OpenClaw, Cursor e GitHub Copilot CLI e, dal suo lancio a marzo, CLI‑Something ha raggiunto oltre 30.000 stelle GitHub.
Ma lo stesso meccanismo che rende il software program nativo dell’agente apre la porta all’avvelenamento a livello di agente. Ta comunità di attacco sta già discutendo le implicazioni su X e sui discussion board di sicurezza, traducendo l’architettura di CLI-Something in playbook offensivi.
Il problema della sicurezza non è cosa CLI-Qualsiasi cosa fa. È ciò che rappresenta CLI-Something.
CLI-Something genera file SKILL.md, gli stessi artefatti a livello di istruzioni che La ricerca ToxicSkills di Snyk trovato collegato a 76 payload dannosi confermati su ClawHub e abilities.sh nel febbraio 2026. Una definizione di abilità avvelenata non attiva un CVE e non appare mai in una distinta base del software program (SBOM). Nessuno scanner di sicurezza tradizionale dispone di una categoria di rilevamento delle istruzioni dannose incorporata nelle definizioni delle competenze degli agenti, perché semplicemente la categoria non esisteva diciotto mesi fa.
Cisco ha confermato il divario in aprile. “I tradizionali strumenti di sicurezza delle applicazioni non sono stati progettati per questo scopo”, afferma il crew di ingegneri di Cisco ha scritto in un post sul blog annunciando il suo AI Agent Safety Scanner per IDE. “SAST [static application security testing] gli scanner analizzano la sintassi del codice sorgente. SCA [software composition analysis] gli strumenti controllano le versioni delle dipendenze. Nessuno dei due comprende il livello semantico in cui MCP [Model Context Protocol] le descrizioni degli strumenti, i suggerimenti dell’agente e le definizioni delle abilità funzionano.
Merritt Baer, CSO di Enkrypt AI ed ex vice CISO di Amazon Internet Providers (AWS), ha dichiarato a VentureBeat in un’intervista esclusiva: “SAST e SCA sono stati creati per codice e dipendenze. Non controllano le istruzioni.”
Questa non è una vulnerabilità del singolo fornitore. Si tratta di un divario strutturale nel modo in cui l’intero settore della sicurezza monitora le catene di fornitura del software program. Questa è la finestra di pre-sfruttamento. CLI-Tutto è attivo, la comunità degli aggressori ne sta discutendo e i direttori della sicurezza che agiscono ora anticipano il primo rapporto sull’incidente.
Il livello di integrazione che nessuno stack può vedere
La tradizionale sicurezza della catena di fornitura opera su due livelli. Il livello del codice è il luogo in cui opera SAST, analizzando i file sorgente alla ricerca di modelli non sicuri, difetti di injection e segreti codificati. Il livello di dipendenza è il luogo in cui opera la SCA, controllando le versioni dei pacchetti rispetto alle vulnerabilità notice, generando SBOM e contrassegnando le librerie out of date.
Gli strumenti di bridge dell’agente come CLI-Something, connettori MCP, file di regole cursore e competenze Claude Code operano su un terzo livello tra gli altri due. Chiamatelo livello di integrazione dell’agente: file di configurazione, definizioni di abilità e set di istruzioni in linguaggio naturale dicono a un agente AI cosa può fare il software program e come utilizzarlo. Niente di tutto ciò sembra codice. Tutto viene eseguito come codice.
Carter Rees, vicepresidente dell’IA presso Reputazioneha dichiarato a VentureBeat in un’intervista esclusiva: “I LLM moderni [large language models] fare affidamento su plug-in di terze parti, introducendo vulnerabilità della catena di fornitura in cui strumenti compromessi possono inserire dati dannosi nel flusso di conversazione, ignorando la formazione interna sulla sicurezza.
I ricercatori della Griffith College, della Nanyang Technological College, dell’Università del New South Wales e dell’Università di Tokyo hanno documentato la catena di attacchi in un articolo di aprile: “Attacchi di avvelenamento della catena di fornitura contro gli ecosistemi di abilità degli agenti di codifica LLM.” Il crew ha introdotto la Doc-Pushed Implicit Payload Execution (DDIPE), una tecnica che incorpora logica dannosa all’interno di esempi di codice all’interno della documentazione delle competenze.
Attraverso quattro strutture di agenti e cinque modelli linguistici di grandi dimensioni, DDIPE ha raggiunto tassi di bypass compresi tra l’11,6% e il 33,5%. L’analisi statica ha catturato la maggior parte dei campioni, ma il 2,5% ha eluso tutti e quattro gli strati di rilevamento. La divulgazione responsabile ha portato a quattro vulnerabilità confermate e due correzioni dei fornitori.
I chief della sicurezza della catena di uccisione devono effettuare audit
Ecco l’anatomia della kill chain: un utente malintenzionato invia un file SKILL.md a un progetto open supply contenente istruzioni di installazione, esempi di codice e modelli di configurazione. Sembra documentazione commonplace. Un revisore del codice lo farebbe passare perché nessuno di essi è eseguibile. Ma gli esempi di codice contengono istruzioni incorporate che un agente analizzerà come direttive operative.
Uno sviluppatore utilizza uno strumento di bridge dell’agente per connettere il proprio agente di codifica al repository. L’agente acquisisce la definizione della competenza e la considera attendibile, poiché non esiste alcun livello di verifica per distinguere gli intenti benigni da quelli dannosi a livello di istruzione.
L’agente esegue l’istruzione incorporata utilizzando le proprie credenziali legittime. Il rilevamento e la risposta degli endpoint (EDR) rileva una chiamata API approvata da un processo autorizzato e la passa. L’esfiltrazione dei dati, le modifiche alla configurazione e la raccolta delle credenziali si muovono tutti attraverso canali che lo stack di monitoraggio considera traffico normale.
Rees ha individuato il difetto strutturale che rende questa catena letale. “Una vulnerabilità significativa nell’intelligenza artificiale aziendale è il controllo degli accessi interrotto, in cui il piano di autorizzazione piatto di un LLM non riesce a rispettare le autorizzazioni degli utenti”, ha dichiarato a VentureBeat. Una definizione di abilità compromessa su quel piano di autorizzazione piatto non ha bisogno di aumentare i privilegi. Li ha già. Ogni anello di quella catena è invisibile all’attuale stack di sicurezza.
Dimostrazione della Pillar Security una variante di questa catena contro Cursor nel gennaio 2026 (CVE-2026-22708). I comandi integrati nella shell implicitamente attendibili potrebbero essere avvelenati tramite l’inserimento indiretto di immediate, convertendo comandi benigni degli sviluppatori in vettori di esecuzione di codice arbitrari. Gli utenti hanno visto solo il comando finale. L’avvelenamento è avvenuto tramite altri comandi che l’IDE non ha mai richiesto l’approvazione.
Le show sono già in produzione
Nell’a catena di attacchi documentata dall’aprile 2026, un titolo di problema GitHub creato ha attivato un bot di triage AI collegato a Cline. Il bot ha esfiltrato un GITHUB_TOKEN, che l’aggressore ha utilizzato per pubblicare una dipendenza npm compromessa che ha installato un secondo agente su circa 4.000 macchine di sviluppo per otto ore. C’period solo un titolo del numero. Gli aggressori avevano otto ore di accesso. Nessun essere umano ha approvato l’azione.
L’audit ToxicSkills di Snyk ha analizzato 3.984 competenze degli agenti ClawHubil mercato pubblico per il framework degli agenti OpenClaw, e abilities.sh nel febbraio 2026. I risultati: il 13,4% di tutte le competenze conteneva almeno un problema di sicurezza critico. Le abilità inviate quotidianamente sono passate da meno di 50 a metà gennaio a più di 500 all’inizio di febbraio. L’ostacolo alla pubblicazione period un file di markdown SKILL.md e un account GitHub vecchio di una settimana. Nessuna firma del codice. Nessuna revisione della sicurezza. Nessuna sandbox.
OpenClaw non è un valore anomalo. È lo schema. “L’asticella per l’ingresso è estremamente bassa”, ha detto Baer. “Aggiungere una competenza può essere semplice come caricare un documento Phrase o un file di configurazione leggero. Si tratta di un profilo di rischio radicalmente diverso rispetto al codice compilato.” Ha indicato progetti come ClawPatrol che hanno iniziato a catalogare e scansionare competenze dannose, prova che l’ecosistema si sta muovendo più velocemente delle difese aziendali.
IL Campagna ClawHavocsegnalato per la prima volta da Koi Safety alla high-quality di gennaio 2026, ha inizialmente identificato 341 abilità dannose su ClawHub. Un’analisi di follow-up condotta da Antiy CERT ha ampliato il conteggio a 1.184 pacchetti compromessi su tutta la piattaforma. La campagna ha prodotto Atomic Stealer (AMOS) attraverso la definizione delle competenze con documentazione professionale. Le competenze denominate solana-wallet-tracker e polymarket-trader corrispondevano a ciò che gli sviluppatori cercavano attivamente.
Il livello del protocollo MCP comporta un’esposizione simile. Lo ha riferito la sicurezza OX advert aprile i ricercatori hanno avvelenato nove mercati MCP su 11 utilizzando server proof-of-concept. Development Micro inizialmente ha trovato 492 server MCP esposti a Web senza autenticazione; advert aprile, quel numero period cresciuto fino a 1.467. COME Lo riferisce il Registroil problema principale risiede nel meccanismo di trasporto del package di sviluppo software program (SDK) di MCP di Anthropic. Qualsiasi sviluppatore che utilizza l’SDK ufficiale eredita la classe di vulnerabilità.
Matrice prescrittiva VentureBeat: audit della catena di fornitura degli agenti a tre livelli
VentureBeat ha sviluppato una matrice prescrittiva mappando i tre livelli di attacco documentati nei rapporti di ricerca e sugli incidenti di cui sopra rispetto alle capacità di rilevamento degli attuali strumenti SAST, SCA e a livello di agente. Ogni riga identifica cosa i crew di sicurezza dovrebbero verificare e dove nessuno scanner ha copertura oggi.
|
Strato |
Minaccia |
Rilevamento corrente |
Perché manca |
Azione consigliata |
|
1. Codice |
Inserimento rapido nel codice generato dall’intelligenza artificiale |
Scanner SAST |
La maggior parte degli strumenti SAST non dispone di una categoria di rilevamento per l’inserimento tempestivo nel codice generato dall’intelligenza artificiale |
Confermare che SAST esegua la scansione del codice generato dall’intelligenza artificiale per l’inserimento tempestivo. In caso contrario, intraprendi una conversazione aperta con i fornitori questo trimestre. |
|
2. Dipendenze |
Server MCP dannosi, competenze degli agenti, registri dei plugin |
Strumenti della SCA |
La SCA non genera alcuna distinta base specifica per l’intelligenza artificiale. Le dipendenze a livello di agente sono invisibili. |
Conferma che la SCA includa server MCP, competenze dell’agente e registri dei plug-in nell’inventario delle dipendenze. |
|
3. Integrazione dell’agente |
File SKILL.md avvelenati, set di istruzioni dannose, file di regole dell’avversario |
Nessuno fino advert aprile 2026 |
Nessuno strumento controlla il significato semantico dei file di istruzioni dell’agente. Baer: “Non stiamo verificando le intenzioni.” |
Distribuisci Cisco Talent Scanner o Snyk mcp-scan. Assegna una squadra a possedere questo livello. |
La diagnosi di Baer del Livello 3 si applica a tutta la matrice: “Gli scanner attuali cercano artefatti dannosi noti, non istruzioni contraddittorie incorporate in competenze altrimenti valide”. Scanner delle competenze open source di Cisco E La scansione mcp di Snyk rappresentano i primi strumenti appositamente realizzati per questo livello.
Piano d’azione del direttore della sicurezza
Ecco come i chief della sicurezza possono affrontare il problema.
Inventaria tutti gli strumenti di bridge degli agenti nell’ambiente. Ciò embrace CLI-Qualsiasi cosaconnettori MCP, file di regole cursore, Codice Claudio competenze, Copilota GitHub estensioni. Se il crew di sviluppo utilizza strumenti di bridge agente che non sono stati inventariati, il rischio non può essere valutato.
Controlla le origini delle competenze dell’agente nello stesso modo in cui vengono controllati i registri dei pacchetti. L’inquadramento di Baer è preciso: “Un’abilità è effettivamente un intento eseguibile non attendibile, anche se si tratta solo di testo.” Chiudi i percorsi di acquisizione non governati finché non saranno in vigore i controlli. Avviare un processo di revisione e autorizzazione delle competenze. IL Competenze agenti OWASP Top 10 (AST01: Malicious Abilities) fornisce il quadro degli appalti rispetto al quale allineare i controlli.
Distribuisci la scansione a livello di agente. Valutare Scanner delle competenze open source di Cisco E La scansione mcp di Snyk per l’analisi comportamentale dei file di istruzioni dell’agente. Se gli strumenti dedicati non sono disponibili, richiedere a un secondo tecnico di leggere ogni SKILL.md prima dell’installazione.
Limitare i privilegi di esecuzione dell’agente e il runtime dello strumento. Gli agenti di codifica AI non devono essere eseguiti con lo stesso ambito di credenziali dello sviluppatore che li ha invocati. Rees ha confermato il difetto strutturale: il piano di autorizzazione piatto significa che una competenza compromessa non ha bisogno di aumentare i privilegi. La prescrizione di Baer: “Osservabilità in fase di esecuzione dello strumento. A quali dati accede l’agente, quali azioni sta intraprendendo e quelle sono in linea con il comportamento previsto?”
Assegna la proprietà per lo spazio tra i livelli. Gli attacchi più pericolosi hanno successo perché rientrano nelle categorie di rilevamento. Assegnare a un crew la proprietà del livello di integrazione dell’agente. Esamina ogni SKILL.md, configurazione MCP e file di regole prima che entrino nell’ambiente.
Il divario che ha già un nome
Baer ha sottolineato i pericoli di questo nuovo vettore di attacco. “Sembra molto simile alla prima sicurezza dei container, ma nella maggior parte delle organizzazioni siamo ancora nella fase ‘ci arriveremo’”, ha affermato. Ha aggiunto che, in AWS, ci sono voluti alcuni campanelli d’allarme di alto profilo prima che la sicurezza dei container diventasse una priorità. La differenza questa volta è la velocità. “Non c’è alcuna pipeline di creazione, nessuna barriera di compilazione. Solo contenuto”, ha detto.
CLI-Qualsiasi cosa non è una minaccia. È la prova che il livello di integrazione dell’agente esiste, che sta crescendo rapidamente e che la comunità degli aggressori lo ha già trovato. I 33.000 sviluppatori che hanno contribuito al repository stanno dicendo ai crew di sicurezza dove sta andando lo sviluppo del software program. Diciotto mesi fa, la categoria di rilevamento per l’avvelenamento dello strato di integrazione dell’agente non esisteva. Cisco e Snyk hanno spedito i primi strumenti advert aprile. La finestra tra questi due fatti si sta chiudendo. I direttori della sicurezza che non hanno iniziato l’inventario sono già indietro.
