文章总结: 该文档揭示一类新型恶意软件利用扫描规避技术攻击AI代码助手ClaudeCode和Codex。攻击者通过结构混淆和自解压技能封装两种手段,将恶意载荷藏匿于代理技能包中,绕过主流静态扫描工具的检测。研究团队实测显示,伪装后的恶意样本对8款扫描工具的绕过成功率超80%。真实攻击团伙ClawHavoc已在公开市场投放数百款恶意技能包。文档建议开发者采用动态行为分析工具如SkillDetonate,并严格限制AI智能体权限以防范此类威胁。 综合评分: 88 文章分类: 恶意软件,安全意识,安全工具,AI安全,漏洞分析
恶意Skills利用扫描规避技术攻击Claude Code和Codex
原创
安全客 安全客
安全客
2026年7月7日 16:43 北京
在小说阅读器读本章
去阅读
一类新型恶意软件可绕过主流 AI 代码助手配套安全防护工具,隐蔽实施攻击。
研究人员发现,藏匿于代理技能包(Claude Code、OpenAI Codex 等工具所用小型扩展插件)内的恶意程序,可通过变形改造规避自动化安全扫描检测,同时完整保留全部恶意执行逻辑。
代理技能本质等同于插件,能为 AI 代码智能体按需拓展功能;这类技能包一般以文件夹形式分发,内含自然语言配置指令、执行脚本及配套资源文件。
该类技能包编写门槛低、传播便捷,自 2025 年末该格式正式推出后,短短数月内某公开平台上架技能总量便突破 4 万款。庞大的存量规模使其成为攻击者重点目标。技能包运行时将继承加载它的 AI 智能体全部权限,可直接访问开发者本地文件、保存的账号密码、各类第三方关联账户。
已有攻击者利用该权限漏洞投放伪装成实用工具的恶意技能包,窃取浏览器登录凭证、SSH 私钥,甚至加密货币钱包数据。
Arxiv 研究团队向《网络安全新闻》(CSN)发布专项报告,详细披露相关威胁实测过程:团队自研工具 SkillCloak,用于验证现有技能扫描工具能否识别经过伪装的恶意程序。
实测结果警示性极强:研究采集超 1600 份野外真实恶意技能样本,搭配 8 款主流扫描工具开展测试,经伪装处理后的恶意样本几乎全部成功绕过检测。
团队同时证实,恶意代码伪装操作不会破坏其原有功能;将伪装后的恶意技能包接入真实代码智能体环境运行,恶意载荷可完整执行预设窃取行为,攻击者采用伪装规避手段不会产生任何功能损耗。
攻击规避两大核心手段
该类恶意软件的扫描规避技术依托两种核心手段实现:
第一种为结构混淆混淆
针对高危特征内容(可疑系统指令、恶意域名、密码相关调用语句等)做等价改写,改写后程序执行逻辑不变,但扫描工具无法识别出风险特征。
第二种规避手段名为自解压技能封装
规避效果更强,不再仅对恶意代码做文本混淆,而是将完整恶意载荷藏匿于扫描工具默认忽略目录、加密乱码数据块等扫描盲区;仅当 AI 智能体实际启动技能包时,才动态还原并释放恶意代码。
扫描工具在静态检测阶段无法读取真实攻击载荷,几乎不存在可标记的风险特征。
实测数据显示:封装规避手段对所有被测扫描工具的绕过成功率超 90%;仅使用结构混淆手段,也能骗过超 80% 的检测工具。
该漏洞暴露现有检测体系底层缺陷:当前主流扫描工具仅基于技能包静态文本特征做判定,无法识别其安装运行后的真实恶意行为。
真实野外攻击实例警示
该威胁并非仅存在理论推演,名为 ClawHavoc 的攻击团伙已在公开技能市场投放数百款恶意技能包,相关统计显示受污染程序包数量超 300 款,跨生态统计的受害样本规模更高。
开发者一旦不知情安装此类恶意技能,设备将后台静默运行信息窃取程序,批量盗取本地登录记录、密钥串密码、加密钱包文件。
复盘同类安全事件的研究人员统一给出防护建议:严禁允许 AI 智能体自动执行技能包内置配置脚本,务必人工审阅脚本内容;对待来源不明的技能包,需等同于互联网陌生第三方程序,保持高度警惕。
为弥补传统静态扫描工具的短板,本次研究团队同步研发检测工具 SkillDetonate。该工具摒弃静态文本特征判定逻辑,将技能包投放至隔离沙箱环境动态运行,实时监控文件读写、网络外联、数据外传等行为轨迹。
实测中,这套基于行为分析的检测方案可拦截绝大多数恶意技能包,包括所有能绕过静态扫描的伪装恶意样本。
面向 AI 代码工具使用者的核心安全结论
所有使用 AI 代码辅助工具的开发者需牢记核心防护准则:安装前人工审阅技能源码仍有必要,但仅靠源码审查已不足以抵御新型攻击。
将陌生技能包置于隔离环境预运行、持续监控异常网络外联行为、严格限制 AI 智能体可访问的本地目录与凭证权限,已从可选防护措施转变为必备安全操作规范。
信息来源:cybersecuritynews.com
推荐阅读
首个AI全流程勒索攻击来了:JADEPUFFER证明,勒索不再需要人类操盘手
2026-07-06
不给钱就社死,勒索软件又有新套路
2026-07-04
紧急!医疗巨头美敦力遭黑客入侵,患者隐私数据大规模外泄,这些坑普通人千万别踩
2026-07-03
SecSuite—— 搭载人工智能的开源情报、Web 与 API 安全综合测试工具
2026-07-02
RedAmon:串联侦察、漏洞利用与后渗透的 AI 安全工具
2026-07-01
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全客 安全客 安全客《恶意Skills利用扫描规避技术攻击Claude Code和Codex》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论