KI-Coding-Agenten bekommen ein Plugin-Problem. Agenten wie Claude Code, OpenAI Codex und OpenClaw laden Skills - kleine Erweiterungen, die ihnen neue Fähigkeiten geben. Neue Forschung, berichtet von The Hacker News, zeigt, dass diese Skills Malware an Sicherheitsscannern vorbeischmuggeln können, und echte bösartige Skills sind bereits auf einem Agenten-Marktplatz aufgetaucht. Hier ist, was vor sich geht und wie man sicher bleibt. Zum breiteren Thema siehe unseren Leitfaden zur KI-Agenten-Sicherheit.
Was ein Agenten-"Skill" ist
Ein Skill ist ein kleines Paket, üblicherweise eine Markdown-Anweisungsdatei plus einige Skripte, das ein Agent lädt, um eine neue Fähigkeit zu erlangen. Es ist das Plugin-Modell für KI-Coding-Agenten.
Der Haken: Ein Skill kann Skripte mit umfassendem Zugriff auf dein lokales System enthalten. Ein Marktplatz von Skills - wie ClawHub, der Store für den OpenClaw-Agenten - wird damit zu einer Software-Lieferkette. Und Lieferketten sind genau der Ort, an dem Angreifer sich gerne verstecken.
Wie SkillCloak Malware versteckt
Laut der von The Hacker News berichteten Forschung ist SkillCloak ein Payload-erhaltendes Umgehungs-Framework. Es hält das Verhalten eines bösartigen Skills intakt, während es verändert, wie er für einen Scanner aussieht. Es verwendet zwei Methoden:
- Strukturelle Verschleierung. Schreibe die verräterischen Zeichenketten um, auf die ein Scanner anspringt - tausche etwa ein Zeichen gegen ein ähnlich aussehendes aus einem anderen Alphabet aus oder teile einen markierten Befehl über einen Zeilenumbruch. Der Code läuft weiterhin; das Muster passt nicht mehr.
- Selbstentpackendes Packing. Verschiebe die gesamte Payload an einen Ort, den der Scanner überspringt, etwa ein
.git/-Verzeichnis, hinter einem harmlos wirkenden Decoder, der den Skill erst dann wiederaufbaut, wenn der Agent ihn ausführt. Zum Installationszeitpunkt gibt es nichts zu sehen.

Die Zahlen sind nicht beruhigend
Laut der Forschung testete das Team diese Methoden über acht Scanner und 1.613 real existierende bösartige Skills hinweg. Die Ergebnisse:
- Selbstentpackendes Packing umging jeden Scanner zu über 90%.
- Strukturelle Verschleierung umging bei den meisten statischen Scannern mehr als 80% und 96% bei einem hybriden Scanner.
Mit anderen Worten: Statisches Scannen von Skills reicht für sich allein nicht aus. Wenn ein Scanner nur die Bytes prüft, kann eine Payload-erhaltende Transformation einfach an ihm vorbeimarschieren.
Das ist nicht nur Theorie
Echte bösartige Skills sind in freier Wildbahn aufgetaucht. Laut der Analyse von Palo Altos Unit 42 und anderer Sicherheitsforscher fielen bösartige Skills, die auf dem ClawHub-Marktplatz gefunden wurden, in Kategorien wie macOS-Infostealer-Auslieferung, Scanner-Umgehung durch File-Padding und agentischer Missbrauch für finanziellen Gewinn. Das Lieferketten-Risiko ist real, nicht hypothetisch.
Wie man sicher bleibt
Behandle einen Agenten-Skill wie jede nicht vertrauenswürdige Abhängigkeit, denn genau das ist er:
- Installiere nur aus Quellen, denen du vertraust, und bevorzuge Skills, die du lesen kannst.
- Lies, was er tut, bevor du ihn ausführst - die Skripte, nicht nur die Beschreibung.
- Gib ihm die geringstmöglichen Rechte: den kleinsten System- und Netzwerkzugriff, den er braucht.
- Führe ihn in einer Sandbox aus, die begrenzt, worauf er zugreifen kann.
- Bevorzuge verhaltensbasierte Prüfungen. Da statische Scanner getäuscht werden können, beobachte, was ein Skill zur Laufzeit tatsächlich tut, nicht nur, wie sein Code aussieht. Dieselbe Forschung verweist auf verhaltensbasiertes Auditing als die robustere Antwort.
Das ehrliche Fazit
Zwei Einschränkungen. Erstens ist SkillCloak Forschung, berichtet von The Hacker News und an echte Marktplatz-Funde gekoppelt - eine nachgewiesene Schwachstelle, keine Behauptung einer massenhaften Kompromittierung. Zweitens ist die Lösung bekannt: geringstmögliche Rechte, Sandboxing und verhaltensbasierte Erkennung. Nichts davon ist exotisch; es ist standardmäßige Lieferketten-Hygiene, angewandt an einem neuen Ort.
Die ehrliche Lesart: KI-Agenten-Skills sind mächtig, weil sie echten Code ausführen, und aus demselben Grund gefährlich. Da Agenten immer mehr Skills von Drittanbietern laden, wird der Marktplatz zum Ziel, und statisches Scannen allein wird nicht ausreichen. Behandle Skills wie Abhängigkeiten, sandboxe sie und beobachte das Verhalten. Um von vornherein vertrauenswürdige Tools auszuwählen, hilft unser Überblick zu den besten Coding-LLMs 2026.



