cloak detonate malware skill llm difese runtime

Cloak and Detonate: i malware per l’IA diventano invisibili agli antivirus, ma c’è un modo per fermarli

🛡️ Executive Summary

  • SKILLCLOAK genera varianti evasive di skill malevoli per agenti LLM mantenendo invariata la semantica dell’attacco.
  • Gli scanner statici falliscono contro offuscamento strutturale e SFS Packing, con bypass superiori al 90% nei test.
  • SKILLDETONATE esegue i skill in sandbox e rileva fino al 97% degli attacchi tramite analisi comportamentale.

La crescita degli agenti di coding basati su LLM sta creando una nuova superficie di attacco nella supply chain AI. Marketplace e repository di skill permettono agli utenti di estendere rapidamente le capacità degli agenti, ma introducono anche codice e istruzioni di terze parti spesso privi di controlli rigorosi. Lo studio Cloak and Detonate analizza questo rischio attraverso due contributi complementari: SKILLCLOAK, un framework capace di trasformare skill malevoli in varianti evasive senza alterarne il comportamento offensivo, e SKILLDETONATE, un sistema di auditing dinamico progettato per eseguire i skill in ambiente controllato e osservare gli effetti reali sul sistema. I risultati indicano che gli scanner statici attuali, basati su pattern o giudizi LLM, non sono sufficienti contro payload che cambiano forma ma conservano la stessa semantica. La difesa più robusta passa quindi da un controllo runtime, capace di monitorare processi, file, rete e flussi di dati sensibili.

I marketplace di skill LLM diventano una nuova supply chain

Gli agenti LLM utilizzati per sviluppo software, automazione e gestione dei repository dipendono sempre più da skill installabili da marketplace pubblici o community repository. Questi componenti estendono le capacità dell’agente, ma operano spesso con privilegi elevati: accesso al filesystem, ai progetti locali, alle variabili d’ambiente, ai token di autenticazione, ai repository Git e, in alcuni casi, alla rete. Un singolo skill malevolo può quindi sottrarre credenziali, esfiltrare codice sorgente, installare backdoor, alterare dipendenze o generare istruzioni distruttive mascherate da normali task di assistenza. Il problema è amplificato dalla scala: i marketplace contengono decine di migliaia di skill, spesso contributi da sviluppatori esterni e revisionati con controlli automatici. Gli scanner oggi disponibili si concentrano su firme, pattern statici, parole chiave sospette o valutazioni LLM-as-judge, ma questi approcci analizzano soprattutto l’apparenza del payload. In un ecosistema dove il comportamento può essere nascosto dietro istruzioni naturali, script generati a runtime e componenti scaricati dinamicamente, la sola analisi del contenuto dichiarato diventa insufficiente.

SKILLCLOAK nasconde il comportamento malevolo senza modificarlo

image 160
Cloak and Detonate: i malware per l'IA diventano invisibili agli antivirus, ma c'è un modo per fermarli 6

SKILLCLOAK dimostra che un attaccante può trasformare un skill malevolo in una variante molto più difficile da individuare mantenendo intatta la logica dell’attacco. Il framework usa due tecniche principali. La prima è la Structural Obfuscation, che riscrive indicatori sensibili come URL, comandi, stringhe, path e payload in forme equivalenti, dividendoli, sostituendoli o spostandoli in aree meno controllate del progetto. L’obiettivo non è cambiare cosa fa lo skill, ma cambiare come appare agli scanner. La seconda tecnica è lo SFS Packing, acronimo di Self-Extracting Skill Packing, che colloca componenti malevoli in cartelle normalmente ignorate dagli strumenti di analisi, come .git/, e li ripristina solo al momento dell’esecuzione attraverso uno script decoder. Questo schema è particolarmente efficace perché molti scanner statici non attraversano directory considerate rumore, metadati o contenuti non rilevanti. La conseguenza è netta: il payload resta disponibile per l’agente, ma diventa invisibile durante la scansione superficiale del pacchetto.

Gli scanner statici cedono davanti a packing e offuscamento

Annuncio

I test condotti su 1.613 skill malevoli reali e otto scanner diversi mostrano una fragilità sistemica. Lo SFS Packing supera tutti gli scanner con un tasso di successo superiore al 90%, mentre la Structural Obfuscation supera l’80% sugli scanner statici più comuni e arriva al 96% contro uno scanner ibrido. Il dato più preoccupante riguarda la conservazione dell’utilità: le varianti generate da SKILLCLOAK continuano a funzionare in modo sostanzialmente identico, quindi l’attacco non perde efficacia in cambio dell’evasione. Questo conferma un limite tipico delle difese basate su contenuto: quando il payload viene ricodificato, spezzato, spostato o ricomposto solo a runtime, il motore statico perde il contesto necessario per capire l’intento reale. Anche l’uso di LLM-as-judge non risolve il problema, perché il modello può valutare come innocuo un testo apparentemente frammentato o incompleto. In pratica, il malware per skill LLM non deve necessariamente nascondere tutto: deve soltanto impedire allo scanner di ricostruire il comportamento finale nel contesto effettivo dell’agente.

SKILLDETONATE sposta la difesa nell’esecuzione sandbox

Per superare questi limiti, lo studio propone SKILLDETONATE, un auditor dinamico che esegue i skill in un ambiente sandbox e osserva ciò che accade realmente. Il sistema non si limita a leggere file e istruzioni, ma monitora gli effetti sul sistema operativo, sui processi, sui file, sulla rete e sui flussi di dati sensibili. Il primo componente chiave è l’On-Demand Closure Lift, pensato per identificare ed eseguire istruzioni in linguaggio naturale generate a runtime all’interno del contesto dello skill. Questo passaggio è essenziale perché molti attacchi contro agenti LLM non sono semplici script, ma catene in cui istruzioni testuali, prompt e output del modello producono azioni operative successive. Il secondo componente è un’analisi di taint tracking basata su marker, che traccia dati sensibili mentre attraversano contesto LLM, file, processi e rete. In questo modo, se uno skill prova a copiare un token, inserirlo in un prompt, scriverlo su disco o inviarlo all’esterno, il sistema può rilevare la violazione delle policy di riservatezza e integrità.

Rilevamento al 97% e falsi positivi contenuti

image 161
Cloak and Detonate: i malware per l'IA diventano invisibili agli antivirus, ma c'è un modo per fermarli 7

I risultati di SKILLDETONATE mostrano un miglioramento netto rispetto agli scanner statici. Nei benchmark dedicati, il sistema rileva il 97% degli attacchi con un tasso di falsi positivi pari al 2%. Sulle skill malevole reali mantiene un rilevamento dell’87,3%, anche dopo l’applicazione delle tecniche di evasione di SKILLCLOAK. Il calo rispetto al benchmark non dipende solo da limiti del modello di rilevamento, ma anche da fattori operativi: in diversi casi l’agente non esegue effettivamente l’istruzione malevola, mancano dipendenze ambientali necessarie o si verificano timeout durante l’analisi.

image 162
Cloak and Detonate: i malware per l'IA diventano invisibili agli antivirus, ma c'è un modo per fermarli 8

Questi risultati indicano che l’auditing runtime è molto più resistente all’offuscamento perché valuta il comportamento finale, non la forma apparente del codice. Tuttavia, mostrano anche che la qualità della sandbox conta: per rilevare correttamente skill complessi, l’ambiente deve simulare in modo realistico file, credenziali fittizie, rete, dipendenze e interazioni dell’agente. Una sandbox troppo povera può non attivare il payload, lasciando l’attacco non osservato.

Le difese per agenti AI devono diventare comportamentali

Lo studio Cloak and Detonate segnala un cambio di paradigma nella sicurezza degli agenti AI. I marketplace di skill non possono essere trattati come semplici repository di script, perché combinano codice, prompt, istruzioni in linguaggio naturale, esecuzione dinamica e privilegi dell’agente. Le difese devono quindi includere sandbox standardizzate, policy esplicite su accesso a file e rete, tracciamento dei dati sensibili, credenziali canary e monitoraggio delle azioni generate dal modello. Gli scanner statici restano utili come primo filtro, ma non possono essere considerati una barriera sufficiente contro attacchi semantici. Per marketplace, vendor e team enterprise, la priorità è introdurre controlli di pubblicazione più severi, test dinamici automatici e ambienti di detonazione simili a quelli già usati nell’analisi malware tradizionale. La lezione è chiara: quando uno skill può convincere un agente LLM ad agire, il rischio non è soltanto nel codice visibile, ma nel comportamento emergente dell’intero sistema. La sicurezza della supply chain AI dovrà quindi misurare ciò che lo skill fa davvero, non solo ciò che dichiara di essere.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto