alexi.sh
Alle ArtikelBrowser-SicherheitNetzwerk-PrivatsphäreDatenschutz-ToolsBedrohungsmodellierungKI-ProgrammierungDev-Tools

alexi.shAI Engineering Lab

ai-coding

KI-Agenten-Skills sind eine neue Malware-Lieferkette: Ein Blick auf SkillCloak

PrivSec Lab3 Min. Lesezeit
Bunter Quellcode auf einem dunklen Computerbildschirm

Forscher zeigten, dass bösartige KI-Agenten-Skills sich mit einer Technik namens SkillCloak vor statischen Scannern verstecken können, und echte bösartige Skills sind auf Agenten-Marktplätzen aufgetaucht. Was Skills sind, wie die Umgehung funktioniert und wie man sicher bleibt.

KI-Coding-Agenten bekommen ein Plugin-Problem. Agenten wie Claude Code, OpenAI Codex und OpenClaw laden Skills - kleine Erweiterungen, die ihnen neue Fähigkeiten geben. Neue Forschung, berichtet von The Hacker News, zeigt, dass diese Skills Malware an Sicherheitsscannern vorbeischmuggeln können, und echte bösartige Skills sind bereits auf einem Agenten-Marktplatz aufgetaucht. Hier ist, was vor sich geht und wie man sicher bleibt. Zum breiteren Thema siehe unseren Leitfaden zur KI-Agenten-Sicherheit.

Was ein Agenten-"Skill" ist

Ein Skill ist ein kleines Paket, üblicherweise eine Markdown-Anweisungsdatei plus einige Skripte, das ein Agent lädt, um eine neue Fähigkeit zu erlangen. Es ist das Plugin-Modell für KI-Coding-Agenten.

Der Haken: Ein Skill kann Skripte mit umfassendem Zugriff auf dein lokales System enthalten. Ein Marktplatz von Skills - wie ClawHub, der Store für den OpenClaw-Agenten - wird damit zu einer Software-Lieferkette. Und Lieferketten sind genau der Ort, an dem Angreifer sich gerne verstecken.

Wie SkillCloak Malware versteckt

Laut der von The Hacker News berichteten Forschung ist SkillCloak ein Payload-erhaltendes Umgehungs-Framework. Es hält das Verhalten eines bösartigen Skills intakt, während es verändert, wie er für einen Scanner aussieht. Es verwendet zwei Methoden:

  • Strukturelle Verschleierung. Schreibe die verräterischen Zeichenketten um, auf die ein Scanner anspringt - tausche etwa ein Zeichen gegen ein ähnlich aussehendes aus einem anderen Alphabet aus oder teile einen markierten Befehl über einen Zeilenumbruch. Der Code läuft weiterhin; das Muster passt nicht mehr.
  • Selbstentpackendes Packing. Verschiebe die gesamte Payload an einen Ort, den der Scanner überspringt, etwa ein .git/-Verzeichnis, hinter einem harmlos wirkenden Decoder, der den Skill erst dann wiederaufbaut, wenn der Agent ihn ausführt. Zum Installationszeitpunkt gibt es nichts zu sehen.

Eine Hand tippt auf einem Laptop mit grüner Terminal-Ausgabe in einem dunklen Raum

Die Zahlen sind nicht beruhigend

Laut der Forschung testete das Team diese Methoden über acht Scanner und 1.613 real existierende bösartige Skills hinweg. Die Ergebnisse:

  • Selbstentpackendes Packing umging jeden Scanner zu über 90%.
  • Strukturelle Verschleierung umging bei den meisten statischen Scannern mehr als 80% und 96% bei einem hybriden Scanner.

Mit anderen Worten: Statisches Scannen von Skills reicht für sich allein nicht aus. Wenn ein Scanner nur die Bytes prüft, kann eine Payload-erhaltende Transformation einfach an ihm vorbeimarschieren.

Das ist nicht nur Theorie

Echte bösartige Skills sind in freier Wildbahn aufgetaucht. Laut der Analyse von Palo Altos Unit 42 und anderer Sicherheitsforscher fielen bösartige Skills, die auf dem ClawHub-Marktplatz gefunden wurden, in Kategorien wie macOS-Infostealer-Auslieferung, Scanner-Umgehung durch File-Padding und agentischer Missbrauch für finanziellen Gewinn. Das Lieferketten-Risiko ist real, nicht hypothetisch.

Wie man sicher bleibt

Behandle einen Agenten-Skill wie jede nicht vertrauenswürdige Abhängigkeit, denn genau das ist er:

  • Installiere nur aus Quellen, denen du vertraust, und bevorzuge Skills, die du lesen kannst.
  • Lies, was er tut, bevor du ihn ausführst - die Skripte, nicht nur die Beschreibung.
  • Gib ihm die geringstmöglichen Rechte: den kleinsten System- und Netzwerkzugriff, den er braucht.
  • Führe ihn in einer Sandbox aus, die begrenzt, worauf er zugreifen kann.
  • Bevorzuge verhaltensbasierte Prüfungen. Da statische Scanner getäuscht werden können, beobachte, was ein Skill zur Laufzeit tatsächlich tut, nicht nur, wie sein Code aussieht. Dieselbe Forschung verweist auf verhaltensbasiertes Auditing als die robustere Antwort.

Das ehrliche Fazit

Zwei Einschränkungen. Erstens ist SkillCloak Forschung, berichtet von The Hacker News und an echte Marktplatz-Funde gekoppelt - eine nachgewiesene Schwachstelle, keine Behauptung einer massenhaften Kompromittierung. Zweitens ist die Lösung bekannt: geringstmögliche Rechte, Sandboxing und verhaltensbasierte Erkennung. Nichts davon ist exotisch; es ist standardmäßige Lieferketten-Hygiene, angewandt an einem neuen Ort.

Die ehrliche Lesart: KI-Agenten-Skills sind mächtig, weil sie echten Code ausführen, und aus demselben Grund gefährlich. Da Agenten immer mehr Skills von Drittanbietern laden, wird der Marktplatz zum Ziel, und statisches Scannen allein wird nicht ausreichen. Behandle Skills wie Abhängigkeiten, sandboxe sie und beobachte das Verhalten. Um von vornherein vertrauenswürdige Tools auszuwählen, hilft unser Überblick zu den besten Coding-LLMs 2026.

Photo: Pexels (source)

Auch verfügbar in

FAQ

Was ist ein KI-Agenten-Skill?
Ein Skill ist ein kleines Paket - üblicherweise eine Markdown-Anweisungsdatei plus einige Skripte -, das ein Agent lädt, um eine neue Fähigkeit zu erlangen. Agenten wie Claude Code, OpenAI Codex und OpenClaw nutzen sie. Da ein Skill Skripte mit umfassendem lokalem Systemzugriff mitbringen kann, wird ein Marktplatz von Skills zu einem Teil der Software-Lieferkette - und zu einem riskanten, wenn ein Skill bösartig ist.
Was ist SkillCloak?
Laut der von The Hacker News berichteten Forschung ist SkillCloak ein Payload-erhaltendes Umgehungs-Framework: Es hält das Verhalten eines bösartigen Skills intakt, während es verändert, wie er für einen Scanner aussieht. Es verwendet zwei Methoden - strukturelle Verschleierung (das Umschreiben verräterischer Zeichenketten in ähnlich aussehende Formen) und selbstentpackendes Packing (das Verstecken der Payload dort, wo Scanner nicht hinsehen, und ihr Wiederaufbau, wenn der Agent läuft).
Wie gut umgeht SkillCloak Scanner?
Laut der Forschung umging das selbstentpackende Packing über acht Scanner und 1.613 real existierende bösartige Skills hinweg jeden Scanner zu über 90%, und die strukturelle Verschleierung umging bei den meisten statischen Scannern mehr als 80% und erreichte bei einem hybriden Scanner 96%. Die Erkenntnis: Statisches Scannen von Skills reicht für sich allein nicht aus.
Wie nutze ich KI-Agenten-Skills sicher?
Behandle einen Skill wie jede nicht vertrauenswürdige Abhängigkeit. Installiere nur aus Quellen, denen du vertraust, lies, was er tut, gib ihm den geringstmöglichen Zugriff, den er braucht, und führe ihn in einer Sandbox aus, die den System- und Netzwerkzugriff begrenzt. Da statische Scanner getäuscht werden können, bevorzuge verhaltensbasierte Prüfungen - beobachte, was ein Skill zur Laufzeit tatsächlich tut, nicht nur, wie sein Code aussieht.