Les scanners statiques ratent les skills malveillants repaquagés — l'audit à l'exécution les détecte
Une étude de juillet 2026 montre qu'un repaquage adaptatif contourne plus de 90 % des scanners de skills d'agent, et soutient que c'est l'audit comportemental à l'exécution, pas l'inspection d'apparence, qui détecte réellement le malware.
De quoi s’agit-il ?
Les agents de code fondés sur des LLM installent de plus en plus de skills d’agent tiers — des bundles réutilisables qui empaquettent un savoir-faire opérationnel — depuis des marketplaces publiques. Ces skills s’exécutent avec les privilèges de l’agent lui-même : accès fichiers, shell et réseau. Un skill malveillant devient donc un problème de chaîne d’approvisionnement, capable de voler des identifiants, d’exfiltrer du code source ou de déposer une porte dérobée. La défense actuelle repose sur un scanner statique de skills : un outil qui lit le skill avant son exécution et signale les motifs dangereux, par correspondance de motifs ou en demandant à un LLM de juger le texte.
Un article publié sur arXiv le 2 juillet 2026, Cloak and Detonate: Scanner Evasion and Dynamic Detection of Agent Skill Malware (arXiv:2607.02357), teste si cette défense tient. Sa réponse : l’inspection d’apparence ne suffit pas — un attaquant qui conserve le comportement malveillant mais change l’apparence du payload passe à travers presque tous les scanners — et il propose de déplacer la détection de ce à quoi un skill ressemble vers ce qu’il fait quand il s’exécute.
Comment ça marche
L’étude pose le problème comme un jeu adversarial : le scanner du défenseur joue en premier, l’attaquant s’adapte ensuite. Elle construit un cadre de transformation préservant le payload (les auteurs l’appellent SkillCloak) qui laisse intacte la sémantique de l’attaque tout en réécrivant sa forme visible, selon deux idées complémentaires.
La première est l’obscurcissement structurel : les indicateurs visibles d’un payload sont réécrits sous des formes sémantiquement équivalentes qui ne correspondent plus aux signatures attendues du scanner, sans changer ce que fait finalement le skill. La seconde, plus efficace, est le paquetage auto-extractible : les composants malveillants sont cachés de la vue au moment de l’installation qu’inspecte un scanner, et ne sont reconstruits qu’au moment de l’exécution par l’agent. Comme le scanner ne voit jamais le vrai payload, il n’a rien à signaler.
Évaluée sur huit scanners et 1 613 skills malveillants observés en conditions réelles, la stratégie de paquetage a contourné tous les scanners à plus de 90 %, et la stratégie d’obscurcissement a contourné plus de 80 % de la plupart des scanners statiques — atteignant 96 % contre un scanner hybride. La leçon que tirent les auteurs est structurelle, pas anecdotique : toute défense qui raisonne sur l’apparence d’un skill au moment de l’installation inspecte le mauvais objet, car l’apparence est précisément ce qu’un attaquant adaptatif peut changer à moindre coût. Cela rejoint des travaux de juin 2026 sur l’injection de skills indétectable et sensible à la position (arXiv:2606.07943), qui ont indépendamment constaté que la revue au moment de l’installation peut être esquivée tout en préservant le comportement.
L’article ne publie pas de boîte à outils d’attaque opérationnelle comme une arme ; il se sert de l’étude d’évasion pour justifier une défense, décrite ci-après.
Pourquoi c’est important
Le résultat compte parce qu’il fragilise un contrôle sur lequel beaucoup d’équipes s’appuient aujourd’hui. Si votre pipeline conditionne l’installation d’un skill à un scan statique — règles de motifs ou juge LLM lisant le SKILL.md et ses fichiers — ces travaux indiquent qu’un attaquant déterminé peut franchir cette barrière tout en livrant le même voleur d’identifiants ou la même routine d’exfiltration. Et la population exposée est vaste et croissante : les skills d’agent s’exécutent avec de réels privilèges, sont installés avec peu de revue obligatoire, et les registres publics ont grossi rapidement, si bien que le nombre de skills qu’un scanner devrait vérifier honnêtement est énorme. Une évasion qui marche à plus de 90 % n’est pas un cas marginal ; c’est le résultat attendu face à un adversaire adaptatif.
Il s’agit d’une étude de mesure et de défense, non du compte-rendu d’une brèche précise, et aucun CVE n’y est attaché. Mais elle s’appuie sur des échantillons malveillants réels, pas synthétiques, ce qui rend ses chiffres d’évasion difficiles à écarter.
Défenses
La recommandation centrale de l’article est de cesser de se fier à l’apparence et de commencer à observer le comportement.
Auditer le comportement à l’exécution, pas le texte à l’installation. Les auteurs proposent un auditeur centré sur le comportement (SkillDetonate) qui exécute un skill dans un bac à sable et cherche des effets malveillants à la frontière du système d’exploitation — quels fichiers, processus et opérations réseau le skill touche réellement — plutôt que de juger l’aspect de son code source. Sur le même corpus, cette approche a détecté 97 % des attaques avec 2 % de faux positifs, et a maintenu 87 % de détection sur des skills malveillants réels.
Suivre les flux de données sensibles par analyse de teinte. Un suivi de teinte par marqueurs piste les données sensibles à travers le contexte de l’agent, les fichiers, les processus et les appels réseau, de sorte qu’une tentative d’exfiltration est captée par le flux qu’elle crée, même quand le code qui l’effectue était caché jusqu’à l’exécution.
Observer ce que l’exécution matérialise. Comme le paquetage auto-extractible ne révèle le payload qu’à l’exécution, le défenseur doit capturer les instructions qui apparaissent pendant l’exécution — ce que l’article nomme la révélation de fermeture à la demande — plutôt que les seuls octets statiques présents à l’installation.
Conserver le scan statique, mais seulement comme une couche. Les scanners statiques attrapent encore à bas coût les skills peu sophistiqués ; l’erreur est de s’y fier seuls. Associez-les à une détonation en bac à sable à l’exécution et à une exécution au moindre privilège, afin qu’un skill qui échappe au lecteur doive encore survivre à l’observation pendant qu’il s’exécute.
Contraindre les privilèges quel que soit le verdict. Exécutez les skills avec le minimum d’autorité fichiers, shell et réseau dont ils ont besoin. L’audit à l’exécution augmente les chances d’attraper un skill malveillant ; le moindre privilège limite les dégâts de celui qui passe.
Statut
| Aspect | Détail |
|---|---|
| Source | Cloak and Detonate: Scanner Evasion and Dynamic Detection of Agent Skill Malware (arXiv:2607.02357), soumis le 2 juillet 2026 |
| Classe | Sécurité de la chaîne d’approvisionnement des marketplaces de skills — évasion de scanner et détection à l’exécution |
| Résultat d’évasion | Le paquetage auto-extractible a contourné les 8 scanners testés à >90 % ; l’obscurcissement >80 % sur la plupart, jusqu’à 96 % sur un scanner hybride (1 613 skills malveillants réels) |
| Résultat de détection | Audit comportemental à l’exécution : 97 % de détection à 2 % de faux positifs ; 87 % sur des skills malveillants réels |
| Travaux liés | Injection de skills indétectable et sensible à la position (arXiv:2606.07943) |
| Nature | Résultat de recherche — pas de CVE ; étude d’évasion adaptative motivant une défense à l’exécution |