ESET ha analizzato quasi 900.000 AI skills nel primo semestre 2026, trovandone oltre 3.000 malevoli e più di 25.000 sospetti capaci di eseguire comandi, accedere ai file e rubare dati. Il dato non è aneddotico: la crescita è passata da circa 600 skill malevoli a marzo a oltre 3.000 a maggio, mentre il volume di skill scansionate è esploso da 60.000 a quasi 900.000 nello stesso arco temporale. La posta in gioco è un nuovo vettore di supply chain che colpisce direttamente i team che usano agenti AI con accesso privilegiato.
- ESET ha rilevato oltre 3.000 skill malevoli su quasi 900.000 analizzate nel primo semestre 2026, con crescita da circa 600 a marzo [FONTE 1]
- La tecnica SkillCloak, sviluppata da ricercatori HKUST, ha superato 8 scanner statici su 1.613 skill malevoli reali con tasso di evasione superiore al 90%, spesso oltre il 99% [FONTE 2]
- Il comportamento malevolo si manifesta al runtime, non al momento della sottomissione: gli scanner leggono i file in fase di submit, ma il payload si attiva solo all'esecuzione [FONTE 2]
- Bitdefender ha trovato circa il 17% delle skill su un marketplace pubblico con codice malevolo nascosto; Unit 42 ha identificato 5 skill evasive ancora live nonostante lo scanning integrato della piattaforma [FONTE 2]
Come funziona il gap: scansione statica contro esecuzione runtime
Gli scanner di marketplace esaminano i file della skill al momento della sottomissione, cercando pattern noti, firme di codice sospetto e comportamenti riconoscibili. La skill malevola passa il controllo, ottiene il badge di sicurezza, viene indicizzata e scaricata. Solo quando l'agente AI la esegue il payload si rivela: comandi shell, accesso al file system, download di tool terzi, iniezione di codice nel contesto dell'agente.
La ricerca del gruppo HKUST, riportata da The Hacker News, ha formalizzato questo gap con il paper "Cloak and Detonate". I ricercatori hanno testato 8 scanner commerciali e open source su 1.613 skill malevoli reali, usando la tecnica SkillCloak basata su packing self-extracting. Il risultato: tasso di evasione superiore al 90%, con picchi oltre il 99% su alcuni scanner. Il payload viene nascosto in directory ignorate come .git/ o riscritto con pattern che eludono le firme statiche, per attivarsi solo al runtime.
La skill eredita i privilegi dell'agente host: file system, terminale, password salvate. Questo è il punto che distingue il rischio da una tradizionale supply chain software. L'agente AI opera nel contesto dell'utente, con credenziali valide e accesso privilegiato. Una skill malevola non deve trovare una vulnerabilità da sfruttare: già opera con i permessi dell'agente.
I numeri dell'ecosistema: da ESET ai marketplace live
I dati quantitativi convergono da più fonti. ESET ha analizzato quasi 900.000 skill con crescita da 60.000 a maggio 2026, identificando oltre 3.000 skill malevoli e più di 25.000 sospetti [FONTE 1]. Bitdefender ha rilevato circa il 17% delle skill su un marketplace pubblico con codice malevolo nascosto [FONTE 2]. Koi Security ha contato 341 skill nella campagna ClawHavoc, poi saliti a 824, su un marketplace in espansione [FONTE 2]. Unit 42 ha trovato 5 skill evasive ancora live su ClawHub nonostante lo scanning integrato della piattaforma [FONTE 2].
Le capability identificate da ESET coprono l'intero spettro dell'abuso agentico: esecuzione comandi, accesso file, download tool terzi, caricamento credenziali, code injection, offuscamento [FONTE 1]. Anton Mäčko, Malware Analyst di ESET, ha dichiarato che "le AI skills possono abilitare un'ampia gamma di abusi agentici, dalla ricognizione automatizzata e attacchi in stile red team alla generazione di spam, modifica di malware e distribuzione". Ha aggiunto che "gli avversari continueranno a testare questi approcci per bypassare i controlli, incluso offuscando l'intento o usando lingue regionali, di nicchia o costruite".
"A scanner judges a skill by how it looks when it is submitted, but the malicious behavior only shows up once the skill runs, after the scan has passed" — sintesi paper HKUST, The Hacker News
Il paradigma difensivo: dal controllo dell'artefatto al monitoraggio del comportamento
La ricerca HKUST ha proposto SKILLDETONATE, prototipo di sandbox a livello sistema operativo che esegue la skill in ambiente isolato prima dell'installazione. I numeri riportati sono 97% di detection in laboratorio, 87% su skill reali, 2% di falsi positivi [FONTE 2]. Resta un prototipo accademico: non è documentato che sia testato su marketplace live né pronto per distribuzione commerciale. Il paper stesso non è peer-reviewed al momento della pubblicazione.
Il modello di fiducia basato su badge pre-installazione replica gli errori degli app store tradizionali, ma con moltiplicatore di impatto: l'agente ha accesso privilegiato e opera autonomamente. Il "passed the scan" diventa trappola quando la scansione è statica e il comportamento è dinamico.
Non emergono nel dossier sovrapposizioni infrastrutturali che colleghino le campagne ClawHavoc o le tecniche SkillCloak a gruppi di threat actor noti. Non è documentato se SkillCloak sia già usato in-the-wild o rimanga dimostrazione di laboratorio. Mancano vittime accertate, incidenti documentati e danni quantificati.
Cosa fare adesso
Per i team che gestiscono agenti AI con accesso a sistemi aziendali, il dossier indica tre azioni concrete. Primo: trattare ogni skill come codice non verificato fino a esecuzione in sandbox isolata, indipendentemente dal badge di marketplace. Secondo: monitorare il runtime dell'agente per comportamenti anomali — esecuzione comandi, accesso file al di fuori dello scope previsto, download tool terzi — piuttosto che affidarsi a firme pre-installazione. Terzo: segmentare i privilegi dell'agente AI in modo che una skill compromessa non erediti accesso completo a codebase, database o ambienti cloud.
La transizione da verifica statica a monitoraggio runtime è incompleta nel mercato. SKILLDETONATE mostra una direzione ma non è disponibile come strumento operativo. I team devono assumere che le skill attuali passino i controlli statici e preparare difese comportamentali conseguenti.
Domande frequenti
Qual è la differenza tra skill "malevola" e "sospetta" nel report ESET?
Il dossier non specifica la metodologia di classificazione né i criteri distintivi. ESET riporta oltre 3.000 skill malevoli e più di 25.000 sospette, senza dettagliare come avvenga la categorizzazione tra i due gruppi.
SkillCloak è già usato da attacchi reali o è solo ricerca accademica?
Il brief non documenta che SkillCloak sia impiegato in-the-wild. Le evasioni reali documentate su marketplace live (5 skill su ClawHub, 17% da Bitdefender) usano tecniche "adjacent" ma non identificate come SkillCloak specificamente. Il paper HKUST è dimostrazione di laboratorio su 1.613 skill reali.
I team di sicurezza possono usare SKILLDETONATE per proteggersi?
No. SKILLDETONATE è prototipo di ricerca con risultati promettenti ma non testato su marketplace live né disponibile come strumento operativo. Il brief non indica roadmap di commercializzazione né validazione indipendente.
Fonti
- https://www.helpnetsecurity.com/2026/07/08/eset-ai-threat-trends-report/
- https://thehackernews.com/2026/07/new-skillcloak-technique-lets-malicious.html
- https://thehackernews.com/2026/07/rogue-agent-flaw-could-have-let.html
- https://www.helpnetsecurity.com/2026/01/07/research-interacting-ai-risks/
- https://www.helpnetsecurity.com/2026/06/12/nist-iso-frameworks-govern-ai-agents/
- https://www.helpnetsecurity.com/2026/04/10/clickfix-mac-malware-script-editor/
- https://www.helpnetsecurity.com/2025/03/03/qr-code-attacks/
Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.