alexi.sh
Todos os artigosSegurança do navegadorPrivacidade de redeFerramentas de privacidadeModelagem de ameaçasProgramação com IAFerramentas de dev

alexi.shLaboratório de Engenharia de IA

ai-coding

As Skills de Agentes de IA São uma Nova Cadeia de Fornecimento de Malware: Por Dentro do SkillCloak

PrivSec Lab4 min de leitura
Código-fonte colorido exibido num ecrã de computador escuro

Investigadores demonstraram que skills maliciosas de agentes de IA conseguem esconder-se de scanners estáticos usando uma técnica chamada SkillCloak, e skills realmente maliciosas já apareceram em marketplaces de agentes. O que são as skills, como funciona a evasão e como manter-se seguro.

Os agentes de programação com IA estão a ganhar um problema de plugins. Agentes como o Claude Code, o OpenAI Codex e o OpenClaw carregam skills - pequenos complementos que lhes dão novas capacidades. Uma nova investigação, relatada pelo The Hacker News, mostra que essas skills conseguem contrabandear malware para além dos scanners de segurança, e skills realmente maliciosas já surgiram num marketplace de agentes. Eis o que está a acontecer e como manter-se seguro. Para o tema mais amplo, veja o nosso guia de segurança de agentes de IA.

O que é uma "skill" de agente

Uma skill é um pequeno pacote, normalmente um ficheiro de instruções em Markdown mais alguns scripts, que um agente carrega para adquirir uma nova capacidade. É o modelo de plugins para agentes de programação com IA.

O senão: uma skill pode incluir scripts com amplo acesso ao seu sistema local. Por isso, um marketplace de skills - como o ClawHub, a loja do agente OpenClaw - torna-se uma cadeia de fornecimento de software. E as cadeias de fornecimento são precisamente onde os atacantes gostam de se esconder.

Como o SkillCloak esconde malware

Segundo a investigação relatada pelo The Hacker News, o SkillCloak é um framework de evasão que preserva o payload. Mantém intacto o comportamento de uma skill maliciosa enquanto altera a forma como esta aparece a um scanner. Usa dois métodos:

  • Ofuscação estrutural. Reescrever as strings reveladoras nas quais um scanner se baseia - por exemplo, trocar um carácter por outro semelhante de um alfabeto diferente, ou dividir um comando assinalado numa quebra de linha. O código continua a correr; o padrão já não corresponde.
  • Empacotamento auto-extraível. Mover todo o payload para um sítio que o scanner ignora, como uma diretoria .git/, por trás de um descodificador de aparência inofensiva que reconstrói a skill apenas quando o agente a executa. No momento da instalação, não há nada para ver.

Uma mão a digitar num portátil que mostra saída de terminal em verde numa sala escura

Os números não são tranquilizadores

Segundo a investigação, a equipa testou estes métodos ao longo de oito scanners e 1613 skills maliciosas do mundo real. Os resultados:

  • O empacotamento auto-extraível contornou todos os scanners em mais de 90%.
  • A ofuscação estrutural contornou mais de 80% na maioria dos scanners estáticos, e 96% num scanner híbrido.

Por outras palavras, a análise estática das skills não basta por si só. Se um scanner apenas inspeciona os bytes, uma transformação que preserva o payload pode passar por ele sem qualquer obstáculo.

Isto não é só teoria

Skills realmente maliciosas surgiram em circulação. Segundo a análise da Unit 42 da Palo Alto e de outros investigadores de segurança, as skills maliciosas encontradas no marketplace ClawHub enquadravam-se em categorias que incluíam entrega de infostealers para macOS, evasão de scanners através de preenchimento de ficheiros e abuso agêntico para ganho financeiro. O risco de cadeia de fornecimento é real, não hipotético.

Como manter-se seguro

Trate uma skill de agente como qualquer dependência não confiável, porque é isso que ela é:

  • Instale apenas a partir de fontes em que confia e prefira skills que consiga ler.
  • Leia o que ela faz antes de a executar - os scripts, não apenas a descrição.
  • Dê-lhe o menor privilégio: o menor acesso ao sistema e à rede de que necessita.
  • Execute-a numa sandbox que limite aquilo a que ela consegue chegar.
  • Prefira verificações baseadas no comportamento. Como os scanners estáticos podem ser enganados, observe o que uma skill realmente faz em tempo de execução, não apenas o aspeto do seu código. A mesma investigação aponta a auditoria baseada no comportamento como a resposta mais robusta.

A conclusão honesta

Duas ressalvas. Primeiro, o SkillCloak é investigação, relatada pelo The Hacker News e ligada a descobertas reais em marketplaces - uma fraqueza demonstrada, não uma alegação de comprometimento em massa. Segundo, a solução é conhecida: menor privilégio, sandboxing e deteção baseada no comportamento. Nada disto é exótico; é higiene padrão de cadeia de fornecimento aplicada a um novo lugar.

A leitura honesta: as skills de agentes de IA são poderosas porque executam código real, e perigosas exatamente pela mesma razão. À medida que os agentes carregam mais skills de terceiros, o marketplace torna-se um alvo, e a análise estática por si só não aguentará. Trate as skills como dependências, coloque-as numa sandbox e observe o comportamento. Para escolher ferramentas confiáveis desde o início, a nossa visão geral dos melhores LLMs de programação 2026 ajuda.

Photo: Pexels (source)

Também disponível em

FAQ

O que é uma skill de agente de IA?
Uma skill é um pequeno pacote - normalmente um ficheiro de instruções em Markdown mais alguns scripts - que um agente carrega para ganhar uma nova capacidade. Agentes como o Claude Code, o OpenAI Codex e o OpenClaw usam-nas. Como uma skill pode transportar scripts com amplo acesso ao sistema local, um marketplace de skills torna-se parte da cadeia de fornecimento de software, e uma cadeia arriscada se uma skill for maliciosa.
O que é o SkillCloak?
Segundo a investigação relatada pelo The Hacker News, o SkillCloak é um framework de evasão que preserva o payload: mantém intacto o comportamento de uma skill maliciosa enquanto altera a forma como esta aparece a um scanner. Usa dois métodos - ofuscação estrutural (reescrever strings reveladoras em formas semelhantes) e empacotamento auto-extraível (esconder o payload onde os scanners não olham, reconstruindo-o depois quando o agente é executado).
Quão bem o SkillCloak escapa aos scanners?
Segundo a investigação, ao longo de oito scanners e 1613 skills maliciosas encontradas em circulação, o empacotamento auto-extraível contornou todos os scanners em mais de 90%, e a ofuscação estrutural contornou mais de 80% na maioria dos scanners estáticos e atingiu 96% num scanner híbrido. A conclusão é que a análise estática das skills não basta por si só.
Como uso skills de agentes de IA em segurança?
Trate uma skill como qualquer dependência não confiável. Instale apenas a partir de fontes em que confia, leia o que ela faz, dê-lhe o mínimo de acesso de que necessita e execute-a numa sandbox que limite o alcance ao sistema e à rede. Como os scanners estáticos podem ser enganados, prefira verificações baseadas no comportamento - observe o que uma skill realmente faz em tempo de execução, não apenas o aspeto do seu código.