I ricercatori dell'HKUST hanno pubblicato il 3 luglio 2026 il paper "Cloak and Detonate", un framework che rende trasparente l'insufficienza degli scanner statici sui marketplace di skill per AI agent. Lo dimostrano con numeri: oltre il 90% di bypass su ogni scanner testato, con la maggior parte che supera il 99%. Il messaggio è che la "passed the scan" badge, su cui migliaia di aziende fanno leva per autorizzare l'installazione di skill in ambienti di sviluppo con accesso privilegiato, è un placebo tecnico.
- SkillCloak utilizza Self-Extracting Skill Packing e Structural Obfuscation per nascondere payload malevoli a scanner statici, con tassi di bypass superiori al 90% su 1.613 skill malevoli reali testate.
- Lo scanner statico di Cisco, il migliore nella batteria di test, crolla dal 99% di detection al 10% dopo l'applicazione delle tecniche di cloaking.
- Le skill offuscate mantengono funzionalità identica su Claude Code e OpenAI Codex: l'utente non percepisce differenza operativa.
- SkillDetonate, proposta difensiva runtime dei ricercatori, rileva il 97% degli attacchi con il 2% di falsi positivi, ma è ancora un prototipo di ricerca non testato su marketplace live sotto attacco attivo.
- Unit 42 ha già trovato skill evasive live su ClawHub con tecniche adiacenti: padding di 22 MB, password stealer per Mac, hijacking di consigli finanziari.
Come funziona l'evasione: SFS Packing e la scansione che non guarda nel posto giusto
Il meccanismo centrale è il Self-Extracting Skill Packing. Il payload malevolo viene nascosto in directory che gli scanner sono configurati per saltare — esempi ricorrenti nel paper sono .git/ e cartelle di build — oppure in blob codificati che un decoder apparentemente innocuo ricostruisce solo al momento dell'esecuzione dell'agent. L'assunzione fondamentale che gli scanner statici violano: che il payload sia visibile al momento dell'installazione. Non lo è.
La seconda tecnica, Structural Obfuscation, riscrittura semantica di indicatori malevoli senza alterarne la funzionalità. Homoglyph, split di comandi su newline, riformulazioni che rompono il pattern matching degli scanner mantenendo intatta la semantica esecutiva. Il risultato: bypass dell'80% sui scanner statici e del 96% su uno scanner ibrido, secondo il paper "Cloak and Detonate" dei ricercatori HKUST.
"SFS Packing bypasses every scanner at over 90%, while Structural Obfuscation bypasses over 80% on most static scanners and reaches 96% on a hybrid scanner" — Paper "Cloak and Detonate", HKUST
Il crollo del miglior scanner: da 99% a 10% con un cambio di forma
La caduta più clamorosa riguarda lo scanner di Cisco, considerato il migliore statico nella batteria di test. Prima del cloaking: 99% di detection. Dopo: circa il 10%. Il dato non è marginale: significa che il sistema di certificazione più aggressivo del mercato diventa inutile contro un attaccante che applica tecniche documentate in un preprint accademico.
Le skill offuscate, nel test dei ricercatori, "cause no statistically detectable loss in skill utility" su Claude Code e OpenAI Codex. L'utente installa, l'agent esegue, il payload si manifesta. La catena di fiducia si interrompe invisibilmente.
Il paper non è peer-reviewed: i numeri sono autoreportati. Ma la convergenza con casi reali già documentati — omnicogg con padding di 22 MB trovato da Unit 42 su ClawHub, la campagna AIR con fake skill che hanno raggiunto circa 26.000 agent — corrobora la plausibilità dello scenario. The Hacker News, nel riportare il paper, ha esplicitamente limitato la portata: "No one has yet caught attackers using these exact packing tricks at scale; the real-world cases here are adjacent evasions, not SkillCloak itself".
Il runtime come unica linea: SkillDetonate e i suoi limiti
I ricercatori propongono SkillDetonate, un sistema di detection runtime che esegue le skill in sandbox prima di autorizzarne l'operatività. Il benchmark riportato: 97% di detection con 2% di falsi positivi su SkillJect, dataset di 150 skill controllate. Su skill malevoli reali da MalSkillBench, la detection si mantiene all'87% anche contro cloaking.
Il confronto con gli scanner statici è netto: "31% more than the best static scanner and 62% more than a naive OpenCode based agent detector". Ma il paper non quantifica con precisione la velocità di esecuzione in un marketplace live con decine di migliaia di skill. Il tempo di analisi runtime — minuti contro secondi — è un fattore non testato a carico. Non è chiaro, inoltre, se SkillDetonate resista a un attaccante che modifica attivamente la tattica di evasione durante la sessione.
L'attuale ecosistema non offre alternative mature. Il paper "Malicious Agent Skills in the Wild" ha mappato 157 skill malevoli con 632 vulnerabilità; Bitdefender ha stimato circa il 17% di skill malevoli su un marketplace; Koi Security ha documentato la campagna ClawHavoc, passata da 341 a 824 skill. La scala è già significativa: oltre 40.000 skill su marketplace aperti, con crescita rapida dagli standard del 2025.
Cosa fare adesso
Le azioni seguenti sono derivate dai fatti documentati nel dossier e dalle campagne reali citate:
- Trattare la "passed the scan" badge come non vincolante. Il dato Cisco — 99% a 10% — dimostra che la certificazione statica è reversibile con tecniche note. Non autorizzare l'installazione di skill da marketplace pubblici in ambienti con accesso a repository di codice o credenziali solo sulla base di badge.
- Spostare i controlli dal gate di installazione al runtime dell'agent. Il paper propone sandboxing pre-esecuzione; le aziende devono valutare se le loro architetture di agent consentono l'esecuzione isolata di skill non verificate. Il dato SkillDetonate — 97% detection, 2% FP — indica la direzione, ma non esistono prodotti commerciali equivalenti convalidati al momento.
- Applicare least privilege agli agent di coding. L'attacco del 17 giugno 2026 a 14 aziende via Claude e Codex, documentato separatamente, ha sfruttato agent con permessi eccessivi. Restringere l'accesso a filesystem, rete e API riduce la superficie di impatto anche se la skill è malevola.
- Verificare continuamente le skill già installate. Microsoft ha avvertito di descrizioni MCP avvelenate modificate post-approvazione; Mozilla 0DIN ha tracciato attacchi via repository GitHub puliti che fetchano payload runtime da DNS. La minaccia non è solo all'installazione: è nel tempo.
La replica di SolarWinds, ma più veloce
La catena di fiducia della supply chain software tradizionale è crollata con SolarWinds perché la firma digitale e la revisione statica erano insufficienti contro un attaccante paziente. L'ecosistema AI agent replica la stessa fragilità con una velocità di distribuzione superiore: una skill malevola può raggiungere 26.000 installazioni in tempi che nel software tradizionale richiedevano mesi. La differenza è che qui il "compromesso" non è un binario firmato: è un testo naturale che sembra utile, offuscato in modo che gli scanner non lo riconoscano come minaccia fino all'esecuzione.
Il vero controllo non può restare sul marketplace gate. Deve spostarsi sul runtime dell'agent, dove il payload si manifesta — o dove una sandbox come SkillDetonate può intercettarlo. I ricercatori hanno fornito la prova di fattibilità; il mercato non ha ancora fornito la risposta industriale.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/07/new-skillcloak-technique-lets-malicious.html
- https://www.helpnetsecurity.com/2026/07/06/omnigent-open-source-ai-agent-framework/
- https://www.helpnetsecurity.com/2026/07/06/clamav-security-patch-versions/
- https://arxiv.org/html/2607.02357v1
- https://arxiv.org/html/2602.06547v1
- https://thehackernews.com/2026/06/fake-ai-agent-skill-passed-security.html
- https://www.helpnetsecurity.com/2026/06/17/ai-agents-offensive-cyber-operations-claude-codex/