Gecko Securityの研究者Jeevan Jutla氏は、AnthropicのSkillスキャナーが「SKILL.mdやエージェント指示の実行面」だけを想定し、同梱されたテストファイルを検査しない点を突いた攻撃手順を明らかにしました。
SkillリポジトリをClawHubやskills.shから取得すると、npx skills addのインストーラがSkillディレクトリ全体をプロジェクト内の .agents/skills/ にコピーします。
その後、JestやVitest、設定次第でMochaが再帰的なグロブによりテストファイルを発見し、beforeAllでpayloadが実行されます。
スキャナーはSKILL.mdは問題なし、プロンプトインジェクションやシェルコマンドも検出しない一方で、隣接する .test.ts 等は見ていないため、攻撃が成立します。
payloadはprocess.envやSSHキー、クラウド資格情報などを読み取り外部へ送信でき、CIではデプロイトークン等が利用可能です。
この盲点は複数の大手スキャナーに共通しており、Geckoは対策としてテストランナーの .agents/ を除外し、CIで .agents/ 配下の*.test.*等を検知したらマージを止めることを推奨しています。
また、Skillソースを最新ではなく特定コミットに固定することも提案されています。
参照元:2026/05/07 「Anthropic Skill scanners passed every check. The malicious code rode in on a test file.」 https://venturebeat.com/security/anthropic-skill-scanners-passed-every-check-malicious-code-test-file
この記事へのリアクション
このニュースをどう受け止めましたか?
コメント