système : OPÉRATIONNEL
← retour à tous les hacks
DEFENSE MEDIUM NEW

Locate-and-Judge : détecter les skills d'agent malveillants par l'attention

Un article de juin 2026 scanne environ 134 000 skills d'agent sur trois marketplaces et confirme 131 skills malveillants en circulation, en s'appuyant sur l'attention de suivi d'instructions pour repérer des charges cachées dans des fichiers d'apparence anodine.

2026-07-04 // 7 min affects: llm-agents, agent-skills, skill-marketplaces, coding-agents

De quoi s’agit-il ?

Un article publié sur arXiv le 22 juin 2026, « Detecting Malicious Agent Skills in the Wild using Attention » (Université du Luxembourg), s’attaque à une surface d’attaque de chaîne d’approvisionnement qui a explosé et reste très peu défendue : les skills d’agent. Un skill est un paquet basé sur des fichiers — un fichier SKILL.md contenant des instructions en langage naturel et éventuellement du code utilitaire — qu’un agent LLM charge à la demande et exécute avec les privilèges de l’utilisateur. Les skills circulent via des marketplaces tierces, si bien qu’un agent agit couramment sur des instructions écrites par un auteur inconnu. Un seul skill malveillant peut exfiltrer des données, détourner l’agent, ou persister comme point d’ancrage ne s’activant que sous certaines conditions.

Les auteurs apportent deux contributions. D’abord une méthode de détection, Locate-and-Judge, assez économique pour auditer une marketplace entière plutôt qu’un échantillon. Ensuite, et c’est plus préoccupant, un scan d’environ 134 000 skills en circulation sur trois marketplaces publiques (Lobehub, Skills.sh, Clawhub.ai) qui a fait remonter 131 skills malveillants confirmés par des humains — installables aujourd’hui — dont une part notable échappe aux scanners existants. Le travail est défensif par construction : il détecte les skills dangereux avant qu’ils n’atteignent le contexte d’un agent, et les auteurs ont signalé chaque cas confirmé aux marketplaces avant publication.

Comment ça marche

La difficulté centrale est que les défenses classiques contre l’injection de prompt ne se transposent pas aux skills. Ces défenses supposent une frontière entre instructions de confiance et données non fiables. Un skill n’a pas cette frontière : il est entièrement constitué d’instructions, si bien qu’une commande malveillante se fond dans les instructions légitimes et hérite de leur autorité. Les détecteurs d’injection fondés sur l’attention, qui signalent le contenu captant l’attention de suivi d’instructions du modèle, se dégradent ici aussi, car l’attention aux instructions est attendue partout dans un skill.

Locate-and-Judge récupère le signal en séparant la localisation de la classification. Un analyseur déterministe découpe d’abord le skill selon ses coutures structurelles (titres, paragraphes, listes, blocs de code, métadonnées). Un « localisateur » léger — un petit modèle lecteur — est ensuite exécuté sur l’ensemble du skill et classe chaque segment selon la force avec laquelle il attire l’attention de suivi d’instructions, ne conservant qu’une poignée de segments en tête. Le postulat est étroit mais efficace : pour qu’une injection fonctionne, elle doit capter l’attention du lecteur ; elle figurera donc parmi les segments les plus saillants, même noyée dans du texte légitime. Enfin, un « juge » plus puissant, en zéro-shot, ne lit que les segments retenus et décide si l’un d’eux porte une instruction malveillante ; le skill est signalé si le score maximal dépasse un seuil calibré. Concentrer le jugement coûteux sur quelques segments à forte attention est ce qui rend le scan à l’échelle d’une marketplace abordable.

Pourquoi c’est important

Les chiffres font tout. Le scan complet des marketplaces a coûté environ 34 dollars et envoyé environ 2,8 fois moins de tokens au juge que la lecture intégrale de chaque skill, tout en récupérant davantage des menaces qui comptent. Sur les 131 skills malveillants confirmés, 82 étaient « cachés » — déguisés en outils ordinaires tout en transportant une charge. La méthode a récupéré 83 % de cette classe cachée contre 45 % pour un scan de contenu intégral par le même juge, et les scanners de production comparés manquaient la quasi-totalité des cas non évidents. Parmi les skills déguisés, les objectifs dominants étaient le vol d’identifiants et de secrets et les installeurs malveillants qui récupèrent et exécutent du code au moment de l’installation ; l’article décrit des exemples réels, comme un utilitaire de « préparation de déploiement » qui balaie les fichiers .env, .pem et .key et les téléverse sans confirmation, ou un « assistant de code » qui décode un dropper base64 vers une ligne curl | bash.

La leçon plus large est que les marketplaces de skills constituent une chaîne d’approvisionnement bien vivante et sous-auditée, et que les outils sur lesquels la plupart des équipes s’appuient pour vérifier les skills sont calibrés pour des mots-clés et des frontières instructions/données propres que les skills cachés sont précisément écrits pour déjouer.

Défenses

Traitez tout skill tiers comme du code non fiable. Un skill s’exécute avec les privilèges de l’utilisateur et ses instructions portent une autorité réelle. Vérifiez-le avant qu’il ne soit chargé dans le contexte d’un agent, pas après.

Ne vous reposez pas sur les seuls scanners par mots-clés ou regex. Les skills malveillants cachés sont écrits spécifiquement pour déjouer les motifs lexicaux, et dans cette étude la majorité d’entre eux ont échappé aux scanners de mots-clés de production. Complétez les vérifications lexicales par un modèle qui raisonne sur l’intention.

Privilégiez une revue sémantique, au niveau du segment, à l’échelle. L’enseignement pratique de Locate-and-Judge est que l’on peut concentrer l’analyse coûteuse sur les quelques segments qui captent réellement l’attention de suivi d’instructions, ce qui rend l’examen d’un grand catalogue abordable plutôt qu’illusoire.

Surveillez l’exfiltration et l’exécution à l’installation. Le balayage d’identifiants dans des fichiers porteurs de secrets et les installeurs qui récupèrent du code depuis des IP codées en dur étaient les deux motifs dominants. Signalez les skills qui lisent des fichiers .env/de clés ou lancent des installeurs réseau lors de la configuration.

Gardez un humain dans la boucle sur les skills signalés. La méthode se déploie à un seuil conservateur, « chaque alerte est revue ». La détection automatisée réduit la botte de foin ; une personne doit toujours confirmer avant de mettre en liste blanche.

Tenez compte de ce que la revue statique manque. L’analyse skill par skill n’attrape pas les chaînes inter-skills (un skill anodin qui ordonne à l’agent d’en installer un malveillant), et les installeurs sur une seule ligne peuvent échapper à la segmentation. Combinez la vérification statique avec une surveillance à l’exécution et une isolation à moindre privilège.

Statut

ÉlémentRéférenceNotes
Article principalarXiv:2606.23416« Detecting Malicious Agent Skills in the Wild using Attention », 22 juin 2026
MéthodeMême articleLocate-and-Judge : localisateur par attention (petit LLM lecteur) + juge zéro-shot sur les top-K segments
Scan en conditions réellesMême article~134k skills, 3 marketplaces ; 131 malveillants confirmés (82 cachés), précision ~83 %, ≈34 $
CoûtMême article~2,84× moins de tokens envoyés au juge que le scan de contenu intégral
ConnexearXiv:2602.06547« Malicious Agent Skills in the Wild » — étude empirique à grande échelle (février 2026)
ConnexearXiv:2606.07131MalSkillBench — benchmark vérifié à l’exécution de skills malveillants (juin 2026)

L’enseignement durable est que la marketplace de skills est désormais une surface de chaîne d’approvisionnement de premier plan. Les défenses conçues pour la séparation instruction-de-confiance / donnée-non-fiable ne s’appliquent pas quand l’artefact entier est constitué d’instructions ; la vérification doit donc raisonner sur l’intention au niveau du segment — assez économiquement pour couvrir un catalogue entier, et adossée à une revue humaine de ce qu’elle signale.

Sources