SkillCloak: Scanner blind, Skills bösartig

Ein Papier aus Hongkong zeigt, wie sich schadhafte Agent-Skills systematisch an allen getesteten Scannern vorbeischummeln. Was Teams heute tun sollten.

Ein Forschungsteam der Hong Kong University of Science and Technology hat am 9. Juli ein Papier veröffentlicht, das die aktuelle Absicherung für Agent-Skills entkernt: Alle acht getesteten Scanner wurden in über 90 Prozent der Fälle umgangen. Die Angriffe zielen ausdrücklich auf Claude Code und OpenAI Codex. Für alle, die im Alltag Skills aus Marktplätzen ziehen, ist das die deutlichste Warnung des Sommers.

Was ein Skill ist und warum das jetzt wichtig wird

Ein Skill für einen Agenten ist ein kleines Paket aus einer Markdown-Datei mit Anweisungen und ein paar Skripten. Der Agent lädt das Paket und kann danach etwas Neues: einen Deploy anstoßen, ein Framework verstehen, ein Ticket öffnen. Weil es nur eine Datei-Sammlung ist, funktioniert derselbe Skill über Agenten hinweg. Und er läuft mit den Rechten des Agenten: eure Dateien, euer Terminal, eure gespeicherten Zugänge.

Wie Skills grundsätzlich funktionieren, hatten wir im Artikel Skills für KI-Agenten beschrieben. Der neue Angriff macht deutlich, warum die Frage "woher kommt der Skill" nicht länger reicht.

Was das Papier zeigt

Die Autoren nennen ihr Werkzeug SKILLCLOAK. Es baut einen bösartigen Skill so um, dass er für einen Scanner harmlos aussieht, aber seine ursprüngliche Wirkung behält. Zwei Techniken:

  1. Zeichen- und Zeilentricks. Auffällige Bytes werden ersetzt: ein Zeichen durch ein optisch identisches aus einem anderen Alphabet, ein verdächtiger Befehl über einen Zeilenumbruch getrennt. Der Scanner findet sein Muster nicht mehr, der Befehl läuft trotzdem.
  2. Self-extracting Packing. Der eigentliche Payload wandert in ein Verzeichnis, das Scanner überspringen, typischerweise .git/. Ein harmlos aussehender Decoder baut den Skill erst zusammen, wenn der Agent ihn tatsächlich ausführt. Scanner überspringen solche Ordner, um Zeit zu sparen und Fehlalarme zu vermeiden. Genau diesen Blindfleck nutzt der Angriff.

Getestet wurde gegen acht Scanner mit 1.613 echten bösartigen Skills aus dem ClawHub-Marktplatz. Die Packing-Technik kam bei jedem einzelnen Scanner in mehr als 90 Prozent der Fälle durch, bei den meisten in mehr als 99 Prozent. Der bis dahin stärkste Scanner (Cisco) fing vor der Verkleidung 99 Prozent der Angriffe, danach nur noch etwa 10 Prozent. Auf Claude Code und OpenAI Codex funktionierten die verkleideten Skills genauso zuverlässig wie die Originale.

Was Skills anrichten können

Ein bösartiger Skill kann Zugangsdaten stehlen, Quellcode kopieren oder eine Backdoor installieren. Öffentliche Marktplätze sind bereits voll mit solchen Angriffen: Bitdefender fand in einer Stichprobe rund 17 Prozent der geprüften Skills mit verstecktem Schadcode. Koi Security zählte in einer einzelnen Kampagne namens ClawHavoc 341 böse Skills, später 824.

Was Teams heute tun können

Der wichtigste Satz aus dem Papier lautet: Ein bestandener Scan ist ein Startpunkt, keine Freigabe. Der Grund, dass die Angriffe wirken, ist strukturell. Der Scanner beurteilt eine Datei, wie sie beim Hochladen aussieht. Das bösartige Verhalten entsteht erst, wenn der Skill läuft.

Daraus folgen ein paar konkrete Bewegungen für den Alltag:

  • Skills nicht auf der Maschine mit den Secrets ausführen. Ein Coding-Agent auf dem eigenen Laptop hat Zugriff auf SSH-Keys, gespeicherte Passwörter, Browser-Cookies. Für alles, was ihr aus fremden Quellen zieht, ist eine Sandbox oder ein separater Container das richtige Zuhause.
  • Prinzip der geringsten Rechte. Der Agent bekommt nur die Zugänge, die er für die konkrete Aufgabe braucht. Kein Full-Access-Terminal, keine unbegrenzten API-Keys, keine Root-Rechte. Das begrenzt den Schaden, wenn ein Skill doch durchrutscht.
  • Nur aus vertrauenswürdiger Quelle installieren. Ein Skill von einem Kollegen, der ihn selbst geschrieben hat, ist etwas anderes als ein Skill mit anonymem Autor auf einem öffentlichen Marktplatz. Der Zwischenschritt "kurz reinschauen" hilft bei den offensichtlichen Fällen, aber nicht bei SkillCloak.
  • Verhalten prüfen, nicht Aussehen. Die Autoren schlagen ein Werkzeug namens SKILLDETONATE vor, das den Skill in einer Sandbox laufen lässt und beobachtet, was er tatsächlich tut: welche Dateien er anfasst, welche Netzwerkverbindungen er öffnet, wohin Daten fließen. In den Tests fing dieser Ansatz 97 Prozent der Angriffe, auch der verkleideten. Preis: statt Sekunden dauert die Prüfung ein paar Minuten pro Skill.

Ein Hinweis für Defender, den das Papier mitgibt: Große oder besonders zufällig wirkende Dateien in Ordnern wie .git/ oder build/, Skills, die Code erst zur Laufzeit zusammensetzen, und Dateien, die weit über eine sinnvolle Größe hinaus aufgebläht sind, sind billige erste Alarmzeichen. Kein Beweis für sich, aber ein Grund zum Genauerhinschauen.

Realitätscheck

Ein paar Einschränkungen gehören klar dazu:

  • Das Papier ist ein Preprint. Noch nicht peer-reviewed, die Zahlen stammen von den Autoren selbst.
  • SkillCloak selbst wurde noch nicht in freier Wildbahn gesichtet. Die verwandten Angriffe, die es schon gibt (angebliche 22-MB-Padding in einem Skill namens omnicogg auf ClawHub, Mac-Passwort-Stealer, hijackte Finanz-Ratschläge), sind aber nah verwandt.
  • SKILLDETONATE ist ein Forschungsprototyp. Für eine ernsthafte Produktions-Sandbox fehlt der Praxis-Test.
  • Der Angriffsweg ist nicht neu. Was neu ist: eine systematische Methode, mit der ein Angreifer die Skalierbarkeit gegen die Scanner-Betreiber ausspielt.

Das Thema geht damit über Skills hinaus. Microsoft warnte Ende Juni davor, dass MCP-Tool-Beschreibungen nach der Freigabe verändert werden können, wodurch ein Finanz-Agent plötzlich Rechnungen leakt. Die Bruchstelle ist dieselbe: Was bei der Prüfung stand, ist nicht zwangsläufig das, was zur Laufzeit läuft.

Kurz gesagt

Scanner sind für Skills das, was Signaturprüfung für Malware ist: nützliche Hygiene, aber keine Garantie. Wer im Team mit Coding-Agenten arbeitet, sollte jetzt zwei Dinge klären: Woher kommen die Skills, die eure Agenten nutzen, und in welcher Umgebung dürfen sie laufen. Solange die Antworten "irgendeiner Marktplatz" und "auf dem Laptop mit allen Firmen-Zugängen" lauten, ist SkillCloak nicht mehr als der Vorname eines Vorfalls, der euch bald erreicht.

Quellen6