alexi.sh
Tutti gli articoliSicurezza del browserPrivacy di reteStrumenti per la privacyModellazione delle minacceProgrammazione con IAStrumenti per sviluppatori

alexi.shLaboratorio di Ingegneria AI

ai-coding

Le skill degli agenti IA sono una nuova catena di distribuzione del malware: dentro SkillCloak

PrivSec Lab4 min di lettura
Codice sorgente colorato visualizzato su uno schermo di computer scuro

Una ricerca ha dimostrato che le skill malevole degli agenti IA possono nascondersi dagli scanner statici usando una tecnica chiamata SkillCloak, e vere skill malevole sono comparse sui marketplace di agenti. Cosa sono le skill, come funziona l'evasione e come restare al sicuro.

Gli agenti di coding IA stanno sviluppando un problema di plugin. Agenti come Claude Code, OpenAI Codex e OpenClaw caricano skill - piccoli add-on che danno loro nuove capacità. Una nuova ricerca, riportata da The Hacker News, mostra che quelle skill possono far passare del malware oltre gli scanner di sicurezza, e vere skill malevole sono già comparse su un marketplace di agenti. Ecco cosa sta succedendo e come restare al sicuro. Per il tema più ampio, vedi la nostra guida alla sicurezza degli agenti IA.

Cos'è una "skill" di un agente

Una skill è un piccolo pacchetto, di solito un file di istruzioni Markdown più alcuni script, che un agente carica per acquisire una nuova capacità. È il modello a plugin per gli agenti di coding IA.

Il problema: una skill può includere script con ampio accesso al tuo sistema locale. Così un marketplace di skill - come ClawHub, lo store per l'agente OpenClaw - diventa una catena di distribuzione del software. E le catene di distribuzione sono esattamente il posto dove gli attaccanti amano nascondersi.

Come SkillCloak nasconde il malware

Secondo la ricerca riportata da The Hacker News, SkillCloak è un framework di evasione che preserva il payload. Mantiene intatto il comportamento di una skill malevola cambiando il modo in cui appare a uno scanner. Usa due metodi:

  • Offuscamento strutturale. Riscrivere le stringhe rivelatrici su cui uno scanner si basa - per esempio, sostituire un carattere con uno somigliante di un altro alfabeto, o spezzare un comando segnalato su un'interruzione di riga. Il codice funziona ancora; il pattern non corrisponde più.
  • Packing auto-estraente. Spostare l'intero payload in un posto che lo scanner salta, come una directory .git/, dietro un decodificatore dall'aria innocua che ricostruisce la skill solo quando l'agente la esegue. Al momento dell'installazione non c'è nulla da vedere.

Una mano che digita su un laptop mostrando output verde del terminale in una stanza buia

I numeri non sono rassicuranti

Secondo la ricerca, il team ha testato questi metodi su otto scanner e 1.613 skill malevole del mondo reale. I risultati:

  • Il packing auto-estraente ha aggirato ogni scanner a oltre il 90%.
  • L'offuscamento strutturale ha aggirato più dell'80% sulla maggior parte degli scanner statici, e il 96% su uno scanner ibrido.

In altre parole, la scansione statica delle skill da sola non basta. Se uno scanner ispeziona solo i byte, una trasformazione che preserva il payload può passargli accanto senza problemi.

Questa non è solo teoria

Vere skill malevole sono comparse in rete. Secondo l'analisi di Unit 42 di Palo Alto e di altri ricercatori di sicurezza, le skill malevole trovate sul marketplace ClawHub ricadevano in categorie tra cui distribuzione di infostealer per macOS, evasione degli scanner tramite riempimento di file e abuso agentico a fini di guadagno finanziario. Il rischio per la catena di distribuzione è concreto, non ipotetico.

Come restare al sicuro

Tratta la skill di un agente come qualsiasi dipendenza non fidata, perché è esattamente quello che è:

  • Installa solo da fonti di cui ti fidi, e prediligi le skill che puoi leggere.
  • Leggi cosa fa prima di eseguirla - gli script, non solo la descrizione.
  • Concedi il privilegio minimo: il più piccolo accesso al sistema e alla rete di cui ha bisogno.
  • Eseguila in una sandbox che limita ciò che può raggiungere.
  • Prediligi i controlli basati sul comportamento. Poiché gli scanner statici possono essere ingannati, osserva ciò che una skill fa davvero in esecuzione, non solo l'aspetto del suo codice. La stessa ricerca indica l'auditing basato sul comportamento come la risposta più solida.

La conclusione onesta

Due precisazioni. Primo, SkillCloak è ricerca, riportata da The Hacker News e legata a reali scoperte sui marketplace - una debolezza dimostrata, non un'affermazione di compromissione di massa. Secondo, la soluzione è nota: privilegio minimo, sandboxing e rilevamento basato sul comportamento. Nulla di esotico; è la normale igiene della catena di distribuzione applicata a un nuovo ambito.

La lettura onesta: le skill degli agenti IA sono potenti perché eseguono codice reale, e pericolose per lo stesso motivo. Man mano che gli agenti caricano più skill di terze parti, il marketplace diventa un bersaglio, e la sola scansione statica non reggerà. Tratta le skill come dipendenze, mettile in sandbox e osserva il comportamento. Per scegliere in partenza strumenti affidabili, la nostra panoramica sui migliori LLM per il coding 2026 è d'aiuto.

Photo: Pexels (source)

Disponibile anche in

FAQ

Cos'è una skill di un agente IA?
Una skill è un piccolo pacchetto - di solito un file di istruzioni Markdown più alcuni script - che un agente carica per acquisire una nuova capacità. La usano agenti come Claude Code, OpenAI Codex e OpenClaw. Poiché una skill può contenere script con ampio accesso al sistema locale, un marketplace di skill diventa parte della catena di distribuzione del software, e una parte rischiosa se una skill è malevola.
Cos'è SkillCloak?
Secondo la ricerca riportata da The Hacker News, SkillCloak è un framework di evasione che preserva il payload: mantiene intatto il comportamento di una skill malevola cambiando il modo in cui appare a uno scanner. Usa due metodi - offuscamento strutturale (riscrivere le stringhe rivelatrici in forme somiglianti) e packing auto-estraente (nascondere il payload dove gli scanner non guardano, per poi ricostruirlo quando l'agente lo esegue).
Quanto bene SkillCloak evade gli scanner?
Secondo la ricerca, su otto scanner e 1.613 skill malevole reali diffuse in rete, il packing auto-estraente ha aggirato ogni scanner a oltre il 90%, e l'offuscamento strutturale ha aggirato più dell'80% sulla maggior parte degli scanner statici e ha raggiunto il 96% su uno scanner ibrido. La conclusione è che la scansione statica delle skill da sola non basta.
Come uso in sicurezza le skill degli agenti IA?
Tratta una skill come qualsiasi dipendenza non fidata. Installa solo da fonti di cui ti fidi, leggi cosa fa, dalle il minimo accesso di cui ha bisogno ed eseguila in una sandbox che limita la portata sul sistema e sulla rete. Poiché gli scanner statici possono essere ingannati, prediligi i controlli basati sul comportamento - osserva ciò che una skill fa davvero in esecuzione, non solo l'aspetto del suo codice.