Gli agenti di coding IA stanno sviluppando un problema di plugin. Agenti come Claude Code, OpenAI Codex e OpenClaw caricano skill - piccoli add-on che danno loro nuove capacità. Una nuova ricerca, riportata da The Hacker News, mostra che quelle skill possono far passare del malware oltre gli scanner di sicurezza, e vere skill malevole sono già comparse su un marketplace di agenti. Ecco cosa sta succedendo e come restare al sicuro. Per il tema più ampio, vedi la nostra guida alla sicurezza degli agenti IA.
Cos'è una "skill" di un agente
Una skill è un piccolo pacchetto, di solito un file di istruzioni Markdown più alcuni script, che un agente carica per acquisire una nuova capacità. È il modello a plugin per gli agenti di coding IA.
Il problema: una skill può includere script con ampio accesso al tuo sistema locale. Così un marketplace di skill - come ClawHub, lo store per l'agente OpenClaw - diventa una catena di distribuzione del software. E le catene di distribuzione sono esattamente il posto dove gli attaccanti amano nascondersi.
Come SkillCloak nasconde il malware
Secondo la ricerca riportata da The Hacker News, SkillCloak è un framework di evasione che preserva il payload. Mantiene intatto il comportamento di una skill malevola cambiando il modo in cui appare a uno scanner. Usa due metodi:
- Offuscamento strutturale. Riscrivere le stringhe rivelatrici su cui uno scanner si basa - per esempio, sostituire un carattere con uno somigliante di un altro alfabeto, o spezzare un comando segnalato su un'interruzione di riga. Il codice funziona ancora; il pattern non corrisponde più.
- Packing auto-estraente. Spostare l'intero payload in un posto che lo scanner salta, come una directory
.git/, dietro un decodificatore dall'aria innocua che ricostruisce la skill solo quando l'agente la esegue. Al momento dell'installazione non c'è nulla da vedere.

I numeri non sono rassicuranti
Secondo la ricerca, il team ha testato questi metodi su otto scanner e 1.613 skill malevole del mondo reale. I risultati:
- Il packing auto-estraente ha aggirato ogni scanner a oltre il 90%.
- L'offuscamento strutturale ha aggirato più dell'80% sulla maggior parte degli scanner statici, e il 96% su uno scanner ibrido.
In altre parole, la scansione statica delle skill da sola non basta. Se uno scanner ispeziona solo i byte, una trasformazione che preserva il payload può passargli accanto senza problemi.
Questa non è solo teoria
Vere skill malevole sono comparse in rete. Secondo l'analisi di Unit 42 di Palo Alto e di altri ricercatori di sicurezza, le skill malevole trovate sul marketplace ClawHub ricadevano in categorie tra cui distribuzione di infostealer per macOS, evasione degli scanner tramite riempimento di file e abuso agentico a fini di guadagno finanziario. Il rischio per la catena di distribuzione è concreto, non ipotetico.
Come restare al sicuro
Tratta la skill di un agente come qualsiasi dipendenza non fidata, perché è esattamente quello che è:
- Installa solo da fonti di cui ti fidi, e prediligi le skill che puoi leggere.
- Leggi cosa fa prima di eseguirla - gli script, non solo la descrizione.
- Concedi il privilegio minimo: il più piccolo accesso al sistema e alla rete di cui ha bisogno.
- Eseguila in una sandbox che limita ciò che può raggiungere.
- Prediligi i controlli basati sul comportamento. Poiché gli scanner statici possono essere ingannati, osserva ciò che una skill fa davvero in esecuzione, non solo l'aspetto del suo codice. La stessa ricerca indica l'auditing basato sul comportamento come la risposta più solida.
La conclusione onesta
Due precisazioni. Primo, SkillCloak è ricerca, riportata da The Hacker News e legata a reali scoperte sui marketplace - una debolezza dimostrata, non un'affermazione di compromissione di massa. Secondo, la soluzione è nota: privilegio minimo, sandboxing e rilevamento basato sul comportamento. Nulla di esotico; è la normale igiene della catena di distribuzione applicata a un nuovo ambito.
La lettura onesta: le skill degli agenti IA sono potenti perché eseguono codice reale, e pericolose per lo stesso motivo. Man mano che gli agenti caricano più skill di terze parti, il marketplace diventa un bersaglio, e la sola scansione statica non reggerà. Tratta le skill come dipendenze, mettile in sandbox e osserva il comportamento. Per scegliere in partenza strumenti affidabili, la nostra panoramica sui migliori LLM per il coding 2026 è d'aiuto.



