静态扫描器漏检被重新打包的智能体技能恶意程序——运行时审计才能发现
2026 年 7 月的一项研究表明,自适应重新打包可绕过 90% 以上的智能体技能扫描器,并指出真正能检出恶意程序的是运行时行为审计,而非外观检查。
这是什么?
基于 LLM 的代码智能体越来越多地从公共市场安装第三方智能体技能(agent skills)——一种打包了操作经验的可复用组件。这些技能以智能体自身的权限运行:文件访问、shell 和网络。因此,一个恶意技能就是一个供应链问题,能够窃取凭据、外泄源代码或植入后门。当前的防线是静态技能扫描器:一种在技能运行前读取它并标记危险模式的工具,方式或是模式匹配,或是让 LLM 判断文本。
2026 年 7 月 2 日发表于 arXiv 的论文《Cloak and Detonate: Scanner Evasion and Dynamic Detection of Agent Skill Malware》(arXiv:2607.02357)检验了这道防线是否站得住脚。其结论是:外观检查并不够——攻击者只要保留恶意行为、改变载荷的外观,就能绕过几乎所有扫描器——论文因此主张把检测的重心从技能”看起来是什么样”转向它”运行时做了什么”。
工作原理
该研究把问题设定为一场对抗博弈:防御者的扫描器先行动,攻击者随后适应。它构建了一个保留载荷的变换框架(作者称之为 SkillCloak),在保持攻击语义不变的同时改写其可见形态,采用两种互补思路。
第一种是结构性混淆:把载荷的可见特征改写为语义等价的形式,使其不再匹配扫描器预期的签名,而技能最终所做之事不变。第二种更有效,是自解压打包:把恶意组件从扫描器所检查的安装时视图中隐藏起来,只在智能体执行时才还原。由于扫描器从未见到真正的载荷,也就无从标记。
在八款扫描器和 1,613 个真实环境中的恶意技能上评估,打包策略以 90% 以上的比例绕过了所有扫描器,混淆策略在多数静态扫描器上绕过率超过 80%——对一款混合扫描器达到 96%。作者由此得出的教训是结构性的、而非偶然的:任何在安装时基于技能外观进行判断的防御,检查的都是错误的对象,因为外观恰恰是自适应攻击者能以低成本改变的东西。这与 2026 年 6 月关于不可检测、位置感知技能注入的研究(arXiv:2606.07943)相印证,后者独立发现安装时审查可在保留行为的情况下被规避。
论文并未把可用的攻击工具作为武器发布;它用这项规避研究来论证一种防御,下文予以说明。
为何重要
这一结果之所以重要,是因为它削弱了许多团队当前所依赖的一项控制。如果你的流水线以静态扫描为技能安装的门槛——模式规则,或读取 SKILL.md 及其文件的 LLM 裁判——这项工作表明,坚定的攻击者可以在通过这道门槛的同时投递同样的凭据窃取器或外泄例程。而受影响的人群庞大且在增长:智能体技能以真实权限运行,安装时几乎没有强制审查,公共注册表增长迅速,因此扫描器若要认真核查,需要审核的技能数量极为庞大。90% 以上有效的规避并非边缘情况;面对自适应对手,这是意料之中的结果。
这是一项测量与防御研究,而非某次具体入侵的报告,也没有关联的 CVE。但它基于真实的恶意样本、而非合成样本,这使其规避数据难以被轻易否定。
防御
论文的核心建议是:不再信任外观,转而观察行为。
在运行时审计行为,而非在安装时审查文本。 作者提出了一种以行为为中心的审计器(SkillDetonate),它在沙箱中执行技能,并在操作系统边界处寻找恶意效果——技能实际接触了哪些文件、进程和网络操作——而不是判断其源码外观。在同一语料上,该方法以 2% 的误报率检出了 97% 的攻击,并在真实恶意技能上维持了 87% 的检出率。
用污点分析追踪敏感数据流。 基于标记的污点追踪,在智能体上下文、文件、进程和网络调用之间跟随敏感数据,从而使外泄企图能通过它所产生的数据流被捕获,即便执行该行为的代码在运行前一直被隐藏。
观察执行所具现的内容。 由于自解压打包只在运行时才暴露载荷,防御者需要捕获执行过程中出现的指令——论文称之为按需闭包提取——而不仅是安装时存在的静态字节。
保留静态扫描,但仅作为一层。 静态扫描器仍能以低成本抓住不够精巧的技能;错误在于只依赖它们。将其与运行时沙箱引爆及最小权限执行相结合,使得一个逃过阅读者的技能,仍须在被观察运行时存活下来。
无论判定结果如何都约束权限。 以技能所需的最小文件、shell 和网络权限运行它们。运行时审计提高了抓住恶意技能的几率;最小权限则限制了漏网者所能造成的损害。
状态
| 方面 | 详情 |
|---|---|
| 来源 | 《Cloak and Detonate: Scanner Evasion and Dynamic Detection of Agent Skill Malware》(arXiv:2607.02357),2026 年 7 月 2 日提交 |
| 类别 | 智能体技能市场的供应链安全——扫描器规避与运行时检测 |
| 规避结果 | 自解压打包以 >90% 绕过所测 8 款扫描器;混淆在多数上 >80%,对混合扫描器最高 96%(1,613 个真实恶意技能) |
| 检测结果 | 以行为为中心的运行时审计:2% 误报率下检出 97%;真实恶意技能检出 87% |
| 相关工作 | 不可检测、位置感知的技能注入(arXiv:2606.07943) |
| 性质 | 研究成果——无 CVE;论证运行时防御的自适应规避研究 |