Лише два місяці тому дослідники з Data Intelligence Lab Гонконзького університету представили CLI-Anything – передовий інструмент, який аналізує вихідний код будь-якого репозиторію та генерує структурований інтерфейс командного рядка (CLI), з яким можуть працювати AI-агенти за допомогою однієї команди.
Підтримуються Claude Code, Codex, OpenClaw, Cursor та GitHub Copilot CLI. З моменту запуску в березні CLI‑Anything здобув понад 30 000 зірок на GitHub.
Однак механізм, що робить програмне забезпечення нативним для агентів, відкриває двері для отруєння на рівні агентів. Спільнота зловмисників вже обговорює наслідки в X та на форумах безпеки, трансформуючи архітектуру CLI-Anything у наступальні плани дій.
Проблема безпеки полягає не в тому, що робить CLI-Anything. Вона полягає в тому, що CLI-Anything уособлює.
CLI-Anything генерує файли SKILL.md – ті ж артефакти рівня інструкцій, які, згідно з дослідженням Snyk ToxicSkills, були насичені 76 підтвердженими шкідливими корисними навантаженнями в ClawHub та skills.sh у лютому 2026 року. Отруєне визначення навички (skill definition) не викликає CVE і ніколи не з’являється в переліку програмних компонентів (SBOM). Жоден з основних сканерів безпеки не має категорії виявлення для шкідливих інструкцій, вбудованих у визначення навичок агентів, оскільки така категорія ще не існувала вісімнадцять місяців тому.
Cisco підтвердила цю прогалину у квітні. “Традиційні інструменти безпеки додатків не були розроблені для цього”, – написала команда інженерів Cisco у дописі в блозі, анонсуючи свій AI Agent Security Scanner для IDE. “SAST [статичне тестування безпеки додатків] сканери аналізують синтаксис вихідного коду. Інструменти SCA [аналіз програмних компонентів] перевіряють версії залежностей. Жоден з них не розуміє семантичний шар, де працюють описи інструментів MCP [Model Context Protocol], підказки для агентів та визначення навичок.”
Меррітт Баер, CSO Enkrypt AI та колишній заступник CISO в Amazon Web Services (AWS), ексклюзивно повідомила VentureBeat: “SAST і SCA були створені для коду та залежностей. Вони не перевіряють інструкції.”
Це не вразливість одного постачальника. Це структурна прогалина в тому, як вся індустрія безпеки контролює ланцюги поставок програмного забезпечення. Це вікно до експлуатації. CLI-Anything активний, спільнота зловмисників обговорює його, а директори з безпеки, які діють зараз, випереджають перші звіти про інциденти.
Інтеграційний шар, який не бачить жоден стек
Традиційна безпека ланцюгів поставок працює на двох рівнях. Рівень коду – це те, де працює SAST, скануючи файли вихідного коду на наявність незахищених шаблонів, вразливостей впровадження та жорстко закодованих секретів. Рівень залежностей – це те, де працює SCA, перевіряючи версії пакетів на наявність відомих вразливостей, генеруючи SBOM та позначаючи застарілі бібліотеки.
Інструменти-міст для агентів, такі як CLI-Anything, MCP connectors, Cursor rules files та Claude Code skills, працюють на третьому рівні між двома іншими. Назвімо його агентським інтеграційним шаром: конфігураційні файли, визначення навичок та набори інструкцій природною мовою повідомляють AI-агенту, що програмне забезпечення може робити і як ним користуватися. Жоден з цих елементів не схожий на код. Але кожен з них виконується як код.
Картер Ріс, VP AI у Reputation, ексклюзивно повідомив VentureBeat: “Сучасні LLM [великі мовні моделі] покладаються на сторонні плагіни, створюючи вразливості ланцюгів поставок, де скомпрометовані інструменти можуть впроваджувати шкідливі дані в потік розмови, обходячи внутрішнє тренування безпеки.”
Дослідники з Університету Гріффіта, Технологічного університету Наньяна, Університету Нового Південного Уельсу та Токійського університету задокументували ланцюг атак у квітневій статті “Supply-Chain Poisoning Attacks Against LLM Coding Agent Skill Ecosystems”. Команда представила Document-Driven Implicit Payload Execution (DDIPE) – техніку, яка вбудовує шкідливу логіку всередину прикладів коду в документації навичок.
За чотирма фреймворками агентів та п’ятьма великими мовними моделями DDIPE досяг показників обходу від 11,6% до 33,5%. Статичний аналіз виявив більшість зразків, але 2,5% уникнули всіх чотирьох рівнів виявлення. Відповідальне розкриття інформації призвело до чотирьох підтверджених вразливостей та двох виправлень від постачальників.
Ланцюг вбивств, який керівники безпеки повинні аудувати
Ось анатомія ланцюга вбивств: зловмисник подає файл SKILL.md до проекту з відкритим кодом, що містить інструкції з налаштування, приклади коду та шаблони конфігурації. Це виглядає як стандартна документація. Рецензент коду пропустить це, оскільки ніщо з цього не є виконуваним. Але приклади коду містять вбудовані інструкції, які агент інтерпретує як операційні директиви.
Розробник використовує інструмент-міст для агента, щоб підключити свій кодувальний агент до репозиторію. Агент завантажує визначення навички і довіряє йому, оскільки не існує рівня перевірки, який би відрізняв доброякісний намір від зловмисного на рівні інструкцій.
Агент виконує вбудовану інструкцію, використовуючи власні легітимні облікові дані. Система виявлення та реагування на кінцевих точках (EDR) бачить схвалений виклик API від авторизованого процесу і пропускає його. Витік даних, зміни конфігурації та збір облікових даних – все це відбувається через канали, які стек моніторингу вважає нормальним трафіком.
Ріс визначив структурну помилку, яка робить цей ланцюг смертельним. “Значна вразливість в корпоративному AI – це порушений контроль доступу, де плоска площина авторизації LLM не поважає дозволи користувача”, – сказав він VentureBeat. Скомпрометована навичка, яка рухається цією плоскою площиною авторизації, не потребує підвищення привілеїв. Вона вже їх має. Кожна ланка в цьому ланцюзі невидима для поточного стеку безпеки.
Pillar Security продемонструвала варіант цього ланцюга проти Cursor у січні 2026 року (CVE-2026-22708). Приховані команди оболонки, яким довіряли, могли бути отруєні через непряме впровадження підказок, перетворюючи доброякісні команди розробника на вектори виконання довільного коду. Користувачі бачили лише остаточну команду. Отруєння відбувалося через інші команди, які IDE ніколи не відображала для схвалення.
Докази вже є в продакшені
У задокументованому ланцюзі атак з квітня 2026 року створений заголовок GitHub Issue ініціював роботу AI-бота для сортування, підключеного до Cline. Бот викрав GITHUB_TOKEN, який зловмисник використав для публікації скомпрометованої залежності npm, що встановила другого агента приблизно на 4000 машинах розробників протягом восьми годин. Був лише один заголовок Issue. Зловмисники мали доступ протягом восьми годин. Жодна людина не схвалила цю дію.
Аудит Snyk ToxicSkills сканував 3 984 навички агентів з ClawHub, публічного ринку для фреймворку агентів OpenClaw, та skills.sh у лютому 2026 року. Результати: 13,4% усіх навичок містили принаймні одну критичну проблему безпеки. Щоденні надходження навичок зросли з менш ніж 50 у середині січня до понад 500 на початок лютого. Бар’єр для публікації складав файл SKILL.md у форматі markdown та обліковий запис GitHub віком один тиждень. Без підписання коду. Без перевірки безпеки. Без пісочниці.
OpenClaw не є винятком. Це патерн. “Поріг входу надзвичайно низький”, – сказала Баер. “Додавання навички може бути таким же простим, як завантаження документа Word або файлу легкого конфігурації. Це радикально інший профіль ризику, ніж скомпільований код.” Вона вказала на такі проекти, як ClawPatrol, які почали каталогізувати та сканувати шкідливі навички, що свідчить про те, що екосистема рухається швидше, ніж корпоративні засоби захисту.
Кампанія ClawHavoc, вперше виявлена Koi Security наприкінці січня 2026 року, спочатку ідентифікувала 341 шкідливу навичку на ClawHub. Подальший аналіз Antiy CERT розширив кількість до 1 184 скомпрометованих пакетів на платформі. Кампанія доставляла Atomic Stealer (AMOS) через визначення навичок з професійною документацією. Назви навичок, такі як solana-wallet-tracker та polymarket-trader, відповідали тому, що розробники активно шукали.
Рівень протоколу MCP несе подібний ризик. OX Security повідомила у квітні, що дослідники отруїли дев’ять з 11 MCP-маркетплейсів, використовуючи сервери доказів концепції. Trend Micro спочатку виявила 492 MCP-сервери, доступні в інтернеті без автентифікації; до квітня ця цифра зросла до 1 467. Як повідомляла The Register, корінна проблема полягає в механізмі транспортування набору розробника (SDK) Anthropic MCP. Будь-який розробник, який використовує офіційний SDK, успадковує клас вразливості.
Рекомендована матриця VentureBeat: Аудит трирівневого ланцюга поставок агентів
VentureBeat розробив Рекомендовану матрицю, зіставивши три шари атак, задокументовані в дослідженнях та звітах про інциденти, з можливостями виявлення поточних інструментів SAST, SCA та агентських інструментів. Кожен рядок ідентифікує, що повинні перевіряти команди безпеки, і де сьогодні відсутнє покриття сканерів.
|
Рівень |
Загроза |
Поточне виявлення |
Чому це пропускається |
Рекомендована дія |
|
1. Код |
Впровадження підказок у код, згенерований AI |
SAST сканери |
Більшість інструментів SAST не мають категорії виявлення для впровадження підказок у код, згенерований AI. |
Підтвердьте, що SAST сканує код, згенерований AI, на впровадження підказок. Якщо ні, проведіть відкриту розмову з постачальником цього кварталу. |
|
2. Залежності |
Шкідливі MCP-сервери, навички агентів, реєстри плагінів |
SCA інструменти |
SCA не генерує перелік компонентів, специфічний для AI. Залежності на рівні агентів невидимі. |
Підтвердьте, що SCA включає MCP-сервери, навички агентів та реєстри плагінів до інвентаризації залежностей. |
|
3. Інтеграція агента |
Отруєні файли SKILL.md, шкідливі набори інструкцій, ворожі файли правил |
Немає до квітня 2026 |
Жоден інструмент не перевіряє семантичне значення файлів інструкцій агента. Баер: “Ми не перевіряємо наміри.” |
Розгорніть Cisco Skill Scanner або Snyk mcp-scan. Призначте команду, відповідальну за цей рівень. |
Діагноз Баер для Рівня 3 застосовується до всієї матриці: “Поточні сканери шукають відомі шкідливі артефакти, а не ворожі інструкції, вбудовані в інакше дійсні навички.” Cisco Skill Scanner з відкритим кодом та Snyk mcp-scan є першими інструментами, спеціально розробленими для цього рівня.
План дій керівників безпеки
Ось як керівники безпеки можуть випередити проблему.
Проведіть інвентаризацію всіх інструментів-мостів для агентів у середовищі. Це включає CLI-Anything, MCP connectors, Cursor rules files, Claude Code skills, розширення GitHub Copilot. Якщо команда розробників використовує інструменти-мости для агентів, які не були інвентаризовані, ризик не може бути оцінений.
Аудуйте джерела навичок агентів так само, як аудитуються реєстри пакетів. Формулювання Баер точне: “Навичка – це, по суті, недовірений виконуваний намір, навіть якщо це просто текст.” Припиніть некеровані шляхи введення, доки не будуть запроваджені засоби контролю. Створіть процес перевірки та білого списку для навичок. OWASP Agentic Skills Top 10 (AST01: Malicious Skills) надає рамки для закупівель, щоб узгодити з ним засоби контролю.
Розгорніть сканування рівня агентів. Оцініть Cisco Skill Scanner з відкритим кодом та Snyk mcp-scan для поведінкового аналізу файлів інструкцій агентів. Якщо спеціалізовані інструменти недоступні, вимагайте, щоб другий інженер читав кожен SKILL.md перед встановленням.
Обмежте привілеї виконання агентів та інструментуйте виконання в реальному часі. AI-кодувальні агенти не повинні працювати з тим же набором облікових даних, що й розробник, який їх викликав. Ріс підтвердив структурну помилку: плоска площина авторизації означає, що скомпрометована навичка не потребує підвищення привілеїв. Рецепт Баер: “Інструментуйте видимість виконання в реальному часі. До яких даних отримує доступ агент, які дії він виконує, і чи відповідають вони очікуваній поведінці?”
Призначте відповідальність за прогалину між рівнями. Найбільш небезпечні атаки успішні, тому що вони потрапляють між категоріями виявлення. Призначте команду, відповідальну за інтеграційний шар агентів. Перевіряйте кожен SKILL.md, конфігурацію MCP та файл правил перед тим, як він потрапить до середовища.
Прогалина, яка вже має назву
Баер підкреслила небезпеку цього нового вектора атак. “Це дуже нагадує ранню безпеку контейнерів, але ми все ще перебуваємо у фазі ‘ми до цього доберемося’ у більшості організацій”, – сказала вона. Вона додала, що в AWS знадобилося кілька гучних пробуджень, перш ніж безпека контейнерів стала стандартом. Різниця цього разу – швидкість. “Немає конвеєра збирання, немає бар’єру компіляції. Тільки вміст”, – сказала вона.
CLI-Anything не є загрозою. Це доказ того, що інтеграційний шар агентів існує, він швидко зростає, і спільнота зловмисників вже знайшла його. 33 000 розробників, які поставили зірку репозиторію, повідомляють командам безпеки, куди рухається розробка програмного забезпечення. Вісімнадцять місяців тому категорії виявлення для отруєння на рівні інтеграції агентів не існувало. Cisco та Snyk випустили перші інструменти для цього у квітні. Вікно між цими двома фактами закривається. Керівники безпеки, які ще не почали інвентаризацію, вже відстають.
Як захиститися (Порада ІТ-Блогу): Завжди перевіряйте джерело будь-яких інструментів або навичок, які ви інтегруєте у свій робочий процес AI-кодування. Надавайте перевагу перевіреним та загальновизнаним джерелам, а також впроваджуйте багатофакторну автентифікацію для доступу до ваших репозиторіїв та облікових записів розробника.
Інформація підготовлена на основі матеріалів: venturebeat.com