Die Arbeit der Forscher dreht sich um das Werkzeug SKILLCLOAK. Es schreibt einen schädlichen Skill so um, dass er harmlos aussieht, aber sich zur Laufzeit identisch verhält. Dafür beschreiben die Autoren zwei Verfahren. Die leichtere Variante verändert auffällige Bytefolgen, auf die Scanner anspringen: etwa durch ähnlich aussehende Zeichen aus einem anderen Alphabet oder durch das Aufteilen eines markierten Befehls über einen Zeilenumbruch hinweg. Die Signatur des Scanners greift dann nicht mehr, der Befehl läuft aber weiterhin.
Die zweite, stärkere Methode nennen die Forscher selbstentpackendes Packing. Dabei wird die eigentliche Schadfunktion in ein Verzeichnis verschoben, das Scanner typischerweise auslassen, etwa .git/. Ein unauffälliger Decoder setzt den Skill erst dann wieder zusammen, wenn ihn der Agent ausführt. Genau diese Lücke nutzt der Ansatz aus: Solche Verzeichnisse werden von Scannern oft übersprungen, um Prüfungen zu beschleunigen und Fehlalarme zu reduzieren.
Getestet wurde das Verfahren mit 1.613 realen bösartigen Skills aus ClawHub, einem öffentlichen Marktplatz, und insgesamt acht Scannern. Das Packing-Verfahren kam bei jedem der acht Scanner in mehr als 90 Prozent der Fälle durch, bei den meisten sogar in mehr als 99 Prozent. Die leichtere Umschreibung erzielte bei den meisten Scannern mehr als 80 Prozent und bei einem 96 Prozent. Auf Claude Code und OpenAI Codex funktionierten die getarnten Skills laut den Forschern ebenso gut wie die Originale.
Als Gegenentwurf schlagen die Autoren SKILLDETONATE vor. Statt das Aussehen eines Skills zu bewerten, beobachtet das Werkzeug sein Verhalten in einer Sandbox. Es protokolliert auf Betriebssystemebene, was der Skill liest, was er schreibt und wohin er Daten sendet. Für Agenten sei das aus zwei Gründen wichtig: Zum einen verfolge das System sensible Daten über ihren Fluss statt über ihr Aussehen, sodass Base64-Kodierung oder Verschlüsselung die Erkennung nicht aushebeln. Zum anderen führt es Anweisungen aus, die ein Skill erst zur Laufzeit erzeugt – genau dort, wo das Packing seine Nutzlast versteckt.
In einem kontrollierten Test erkannte SKILLDETONATE 97 Prozent der Angriffe und markierte 2 Prozent unbedenklicher Skills fälschlich als schädlich. Bei realen bösartigen Skills lag die Erkennungsrate bei 87 Prozent. Cisco stellte mit dem stärksten getesteten Scanner das Gegenbeispiel: Vor der Tarnung erkannte er 99 Prozent der realen Schad-Skills, danach noch rund 10 Prozent. Der Nachteil des Laufzeitansatzes ist die Geschwindigkeit: pro Skill dauert die Prüfung laut Studie einige Minuten statt nur wenige Sekunden.
Die Autoren betonen selbst mehrere Einschränkungen. Es gebe bislang keine Belege dafür, dass Angreifer genau diese Packing-Techniken bereits im großen Maßstab einsetzen. Die beobachteten realen Fälle seien verwandte Ausweichmethoden, aber nicht SKILLCLOAK selbst. Außerdem ist SKILLDETONATE ein Forschungsprototyp; die Arbeit liegt als Vorabveröffentlichung vor und wurde noch nicht begutachtet. Den Code haben die Forscher veröffentlicht.
Dass das Grundproblem real ist, belegen mehrere externe Befunde. Bitdefender fand nach eigenen Angaben bei einem Marktplatz in rund 17 Prozent der geprüften Skills versteckten Schadcode. Koi Security zählte in einer einzelnen Kampagne namens ClawHavoc zunächst 341 bösartige Skills und später 824, als der Marktplatz wuchs; darüber berichtete The Hacker News. Unit 42 entdeckte fünf ausweichend gestaltete Skills, die trotz eingebauter Scans noch auf ClawHub verfügbar waren. Einer davon, omnicogg, blähte seine README mit 22 MB Datenmüll auf, um die Größenbegrenzung des Scanners zu umgehen – exakt ein Verfahren, das auch die Studie testet.
Ähnliche Grenzen statischer Prüfungen zeigen sich laut dem Quelltext auch außerhalb von Skill-Marktplätzen. Mozillas 0DIN-Team verfolgte einen Fall, in dem ein unauffälliges GitHub-Repository Claude Code dazu brachte, auf dem Rechner des Entwicklers eine Reverse Shell zu öffnen. Der schädliche Code lag nicht im Repository selbst, sondern wurde erst zur Laufzeit über einen DNS-Eintrag nachgeladen. Microsoft warnte zudem vor manipulierten Werkzeugbeschreibungen im Model Context Protocol: In einem Fall brachte eine nachträglich veränderte Beschreibung einen Finanz-Agenten dazu, unbezahlte Rechnungen preiszugeben.
