The Hacker Newsは、AIコーディングエージェント向けの追加機能「スキル」を偽装し、静的スキャナーをすり抜ける手法「SkillCloak」を紹介した。香港科技大学の研究によると、自己展開型のパッキング手法は、検証対象のスキャナーを90%超の確率で回避したという。
AIエージェントのスキルは、Markdownの指示ファイルとスクリプトで構成されることが多い。便利な反面、エージェントが持つファイル、ターミナル、認証情報へのアクセス権で動くため、供給網リスクが大きい。
静的スキャンだけではなぜ足りないのか
SkillCloakは、悪意あるスキルを見た目上は無害に見せながら、実行時には同じ挙動を再現する。軽い手法では、危険な文字列を似た文字や改行で分割し、スキャナーのパターン検知を避ける。
より強い手法では、ペイロードを.gitのようなスキャナーが省略しがちなディレクトリへ隠し、実行時に復元する。これは、スキャン時間や誤検知を抑えるための設計が、そのまま回避ポイントになる例だ。
防御策 | 限界 | 補完策 |
|---|---|---|
静的スキャン | 難読化やパッキングに弱い | 全ファイル走査とルール更新 |
マーケット審査 | 実行時挙動を見落とす可能性 | 署名、権限分離、レビュー履歴 |
実行時検査 | 導入と運用が重い | 危険操作の監視、サンドボックス |
権限管理 | 設定ミスで抜け道が残る | 最小権限と一時トークン |
AIエージェントは拡張機能のリスクも引き受ける
ブラウザ拡張やnpmパッケージと同じように、AIエージェントのスキルも第三者コードの供給網になる。違いは、エージェントが自然言語の指示に従って、ファイル操作や外部通信、コマンド実行まで行える点だ。
そのため、悪意あるスキルが入ると、認証情報の窃取、ソースコードの持ち出し、バックドア設置などにつながり得る。開発者個人の端末だけでなく、企業の開発環境全体に影響する可能性がある。
企業が取るべき対策
企業は、AIエージェント用スキルを「便利なテンプレート」ではなく、実行権限を持つソフトウェアとして扱うべきだ。導入元の確認、署名、レビュー、最小権限、ネットワーク制限、実行ログの監査をセットにする必要がある。
特に社内でスキルを共有する場合、誰が作り、どの権限で動き、どのファイルへアクセスできるかを明確にしたい。AIエージェントの生産性を活かすには、静的スキャンに加えて、実行時の挙動を止められる仕組みが欠かせない。
参考:The Hacker News / arXiv


.png&w=384&q=75)
