Según se informa, una habilidad de agente de IA falsa pasó todos los escáneres de seguridad y llegó a 26.000 agentes

La empresa de seguridad AIR creó una habilidad de agente de IA falsa, la impulsó a través de un mercado de habilidades popular y la promocionó con un anuncio de Instagram, diciendo que llegó a unos 26.000 agentes, incluidos algunos con cuentas corporativas. Todas las empresas de escáneres de seguridad de eficiencia lo han marcado como seguro. La carga útil era inocua por diseño, recopilando solo la dirección de correo electrónico del usuario, pero AIR dijo que un atacante real podría usar el mismo pie de página para leer archivos, mover datos o comprometer sistemas internos.

La habilidad, llamada brand-landingpage, pretende crear una página de destino utilizando la herramienta de diseño Stitch de Google y está dirigida a usuarios no técnicos. Para que parezca creíble, AIR siguió dos señales de confianza que el ecosistema todavía considera prueba de seguridad: la estrella de GitHub y un veredicto de escáner limpio.

Para las estrellas, abrió una solicitud de extracción en un repositorio de mercado de habilidades con aproximadamente 36.000 estrellas y 156 habilidades. La solicitud de extracción se fusionó unos días después, por lo que la habilidad heredó el recuento de estrellas del repositorio. Luego, AIR publica un anuncio de Instagram dirigido a especialistas en marketing, vendedores y diseñadores, quienes lo instalan y actúan en consecuencia.

Los escáneres probados por AIR analizan el paquete que usted les entrega, es decir, el archivo de definición de habilidades y todo lo que se envía con él. Esto incluye herramientas desarrolladas dentro de Cisco, NVIDIA y los principales registros de competencias. La habilidad de AIR no contenía ninguna instrucción de configuración maliciosa propia, sino que simplemente "pedía al agente que la instalara".Coser el SDK”se controla siguiendo la documentación de un enlace externo, no el dominio real de Google.

💜 de tecnología de la UE

Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y algo de arte de inteligencia artificial dudoso. Es gratis, todas las semanas, en tu bandeja de entrada. Regístrate ahora!

Al principio, el enlace conducía a la documentación original de Stitch, por lo que los escáneres vieron un paquete limpio que apuntaba a una página de configuración lógica y lo borraron. La página que el agente buscaría y seguiría estaba fuera del escaneo. Cuando la habilidad está ampliamente instalada, AIR cambia la página detrás del enlace que le indica al agente que descargue y ejecute un script.

La técnica no es nueva. Tres semanas antes de que se publicaran los resultados de AIR, Trail of Bits pasó por alto el detector de habilidades maliciosas de ClawHub, el escáner de Cisco y tres escáneres integrados en el registro principal de habilidades. La conclusión fue que cuando un escáner examina un paquete en particular, un atacante puede modificar la carga útil hasta que pase.

Las campañas reales han utilizado la misma estrategia durante meses, manteniendo limpias las habilidades de envío y alojando la carga útil en un sitio que el agente solo recupera durante la instalación.

El problema es estructural. El escaneo se realiza solo una vez, pero la página a la que una habilidad apunta al agente se puede reescribir en cualquier momento posterior. La propia documentación de Anthropic advierte que la capacidad de recuperar URL externas es vulnerable exactamente por esta razón, ya que el contenido puede cambiar después de que se valide la capacidad.

Estudios separados de este año encontraron que los siete escáneres principales están de acuerdo con una de cada quinientas de sus banderas colectivas, ya que cada uno juzga la eficiencia del aislamiento, ciego a los enlaces externos y qué cambios después de la revisión.

Las cifras a escala proceden únicamente de AIR y merecen una lectura escéptica. La empresa está lanzando un mercado de habilidades gestionadas y lo está cancelando, por lo que los 26.000 números, los detalles de las cuentas corporativas y las afirmaciones de que puede tomar el control total de cada agente no han sido verificados de forma independiente. Lo que se sostiene es el método: los escáneres nombrados en realidad solo juzgan el paquete enviado, el punto ciego del enlace externo es real y se demuestra de forma independiente, y tomar prestadas señales de confianza AIR, STARS y un escaneo limpio son exactamente lo que el ecosistema todavía considera evidencia.

La prueba alinea cada señal de poca confianza en torno a la habilidad del agente: estrellas que se pueden tomar prestadas, un escaneo que lee una instantánea y un enlace que se puede reescribir después de que se borre la verificación. Ya sea que la cifra original sea 26.000 o una fracción de esa cifra, los defensores aún tienen que cerrar la brecha por la que se deslizó.

Para los equipos de seguridad, la conclusión inmediata es la misma que los investigadores han estado obteniendo: tratar las habilidades como software, no como texto, y examinar a qué se refiere una habilidad, no solo los recipientes que contiene. Enrute nuevas habilidades a través de una única fuente bajo su control, vuelva a probarlas cuando algo cambie, fije versiones y mantenga a los agentes al menos con privilegios.