Tankeledere

Når AI bliver angrebsfladen: Nye forsyningsskade-risici i færdigheds-markeder

mm
Udgivet den

Hver større software-revolution introducerer en ny forsyningskæde og angrebsflade. Som åbent kilde-æraen introducerede forsyningskæde-risici via pakke-registre som npm og PyPI, markerer AI-agenter nu et vendepunkt. Disse agenter, der er aktive i udvikler-workflows, virksomhedsdrift og forbruger-applikationer på platforme som OpenClaw, Claude Code og Cursor, får kraft fra deres udvidelser gennem installable “færdigheder” – en kapacitet, der kræver en lige så rigorøs tilgang til sikkerhed.

Agent-færdigheder er kapacitets-pakker: små bundter af instruktioner og scripts, der giver AI-agenter adgang til værktøjer, eksterne API’er og lokale filsystemer. Distribueret på offentlige platforme som ClawHub, er barrieren for indgang ekstremt lav, med minimalt screenings- eller tilsyn. Vigtige sikkerhedsforanstaltninger som obligatorisk kode-signering, sikkerheds-gennemgang og standard-sandboxing er fraværende. Dette har ført til en forsyningskæde, der er kompromitteret i stor skala: ny forskning i ToxicSkills, der scannede næsten 4.000 færdigheder, fandt, at cirka 1 ud af 8 indeholder mindst én kritisk sikkerheds-svaghed, herunder malware-distribution og prompt-injektion. Når man udvider til enhver alvorlighedsgrad, er mere end en tredjedel af økosystemet berørt. Derfor må sikkerhedsledere være forberedt på at proaktivt afhjælpe disse sårbarheder.

AI-forsyningskæde-angrebets anatomi

Forsyningskæde-angreb udnytter traditionelt kode gennem ondsindet funktioner, der injiceres i afhængigheder og CI-workflows til handlinger som data-eksfiltration, bagdør-installation eller privilegie-escalation. Sikkerhedsværktøjer er blevet effektive til at opdage disse kode-mønstre ved hjælp af statisk analyse og adfærdsmæssig overvågning. AI-agent-færdigheder introducerer en anden vektor helt, da deres primære payload er naturlig sprog, indeholdt i SKILL.md-filen – en instruktions-sæt, som ondsindede aktører har lært at våbenere. ToxicSkills-forskningen viser, at 91% af ondsindede færdigheder kombinerer traditionel malware med prompt-injektion, indlejrer skjulte instruktioner, der manipulerer agentens runtime-reasonering.

Angrebsflowet er simpelt: en udvikler installerer en nyttig færdighed, der indeholder en skjult prompt-injektion designet til at overtage agentens sikkerheds-guardrails. Agenten, der følger instruktioner, den ikke kan skelne fra legitime instruktioner, stjæler legitimationsoplysninger, eksfiltrerer filer eller installerer en bagdør, mens den ser ud til at fungere normalt.

Dette er alarmerende på grund af mængden af udviklere, der kører agenter uden regelmæssige sikkerheds-tjek, giver agenter fuld autonomi uden guardrails. Derfor er omhyggelig overvejelse og menneskelig indgriben stærkt minimiseret, hvilket præsenterer mere risiko for hvert system, agenten har berørt.

Den skjulte fare for “lækage”-færdigheder

Faren strækker sig ud over intentionelt ondsindede færdigheder, da ufrivillige sårbarheder ofte er sværere at opdage, mere vidt distribueret og indlejret i populære, pålidelige funktionelle færdigheder. Sikkerheds-gennemgang af store færdigheds-markeder viser, at vidt accepterede færdigheder rutinemæssigt tvinger AI-agenter til at håndtere følsomme data usikkert. Risikofyldt adfærd inkluderer eksponering af API-nøgler, godkendelsestoken og personlige data gennem plaintext-logs, uprotectede filer eller direkte i modellens kontekst-vindue, hvor de kan være utilsigtet transmitteret til tredjeparts-tjenester.

Dette skyldes ofte, at færdighederne er bygget hurtigt i æraen for “vibe-coding” uden en reel sikkerheds-model. Udvikleren kan overse, at en integrations-nøgle, når den er i agentens kontekst, er effektivt åben og synlig for hver nedstrøms-system. Dette skaber en omfattende risiko på tværs af platforme – personlige assistenter som OpenClaw og kodnings-agenter som Claude Code, Cursor og Windsurf – som millioner af udviklere afhænger af dagligt. Udnyttelsen eller lækkage af legitimationsoplysninger fra en enkelt populær færdighed kan påvirke hver udvikler, kodebase og system, deres agent havde adgang til, og efterlader derfor hele forsyningskæden i risiko. Hurtig innovation muliggør hurtig forurening; og i disse tilfælde er skala ikke et signal om sikkerhed.

Blindspot: Hvorfor traditionelle sikkerheds-kontroller fejler

Sikkerheds-team, der opererer med arv-kontroller som malware-scannere, statisk analyse og adfærdsmæssig overvågning, behandler en fundamentalt anderledes trussels-model. Traditionel malware-opdaging søger efter konkrete kode-udnyttelse, men er ikke udstyret til at analysere naturlig sprog-instruktioner for fjendtlig intention. En prompt-injektion i en SKILL.md-fil ser, for en konventionel scanner, ud som dokumentation; der er ingen signatur at flagge, før agenten handler.

Prompt-injektioner manipulerer agentens reasonering, får den til at fortolke instruktioner og overtage sikkerheds-retningslinjer for at fortsætte med forbudte handlinger. Inden skaden er synlig, har agenten allerede handlet. Persistensen af disse trusler er også bekymrende: ondsindede færdigheder kan forgifte en agents langsigtede hukommelse, korruptere persistent kontekst på tværs af sessioner. Dette “sleeper agent”-scenarie betyder, at agenten kan fortsætte med at udføre ondsindede instruktioner uger efter, at færdigheden er fjernet, en situation, som konventionel incident-response ikke kan indeholde. At lukke denne gap kræver en fundamentalt anderledes, AI-nativ tilgang bygget for agenter.

Opdaging og afhjælpning af fejl i agent-færdigheds-økosystemet

Denne nye trussel er administrerbar, men vinduet til at handle er smalt. Før AI-agent-adopteringsgraden fastlægges, har sikkerhedsledere brug for at etablere fire kerne-kontroller: gennemgang, tidlig opdaging, roterende legitimationsoplysninger og korrekte AI-guardrails.

  1. Gennemgang og Inventar: Etabler en komplet inventar af hver AI-komponent: modeller, installeret agenter og alle installeret færdigheder. Dette skal behandles med samme rigor som en software-bill-of-materials (SBOM) for at oprette en baseline for at opdage ikke-autoriserede ændringer.
  2. Opdag og fjern: Kontinuerligt scann active færdigheder for ondsindet payload, prompt-injektions-mønstre og mistænkelige adfærd, herunder forsøg på at udføre shell-kommandoer eller omgå bruger-oversigt. Automatisk, kontinuerlig scanning er essentiel på grund af den hurtige vækst i markederne.
  3. Roter og beskyt legitimationsoplysninger: Behandle alle legitimationsoplysninger (API-nøgler, token) håndteret af ikke-verificerede færdigheder som potentielt kompromitteret og roter dem straks. Agenter skal overholde principperne om mindst privilegie, adgang til kun ægte nødvendige legitimationsoplysninger og systemer, med ingen stående adgang til produktions-miljøer.
  4. Implementer AI-guardrails: Udrul runtime-beskyttelses-kontroller, der overvåger agent-adfærd i realtid, blokerer farlige handlinger og flagger usædvanlige mønstre som uventet fil-adgang. Agent-hukommelses-filer, i særdeleshed, skal overvåges for ikke-autoriserede ændringer, da hukommelse-forgiftning er en persistent og svær at opdage angrebsvektor.

AI-agent-færdigheds-økosystemet er en software-forsyningskæde, der kræver rigorøs sikkerheds-overvågning. Mens lærdommene fra åbent kilde-æraen gælder, er indsatsen nu meget højere, da AI-agenter opererer med bredere tilladelser og større autonomi end nogen pakke-manager nogensinde har gjort. En enkelt kompromitteret færdighed kan hurtigt sprede sig og få adgang til kerne-legitimationsoplysninger og produktions-systemer på tværs af tusinder af organisationer, og derfor har sikkerhedsledere et smalt vindue til at handle proaktivt.

AI-forsyningskæden er allerede her. Spørgsmålet er, om en organisations sikkerheds-postur er parat til det. Organisationer, der etablerer inventar, tvinger mindst privilegie og udrul runtime-guardrails, vil bevæge sig hurtigt med AI på en sikker måde; mens de, der venter på et højprofileret tilfælde for at tvinge sagen, vil opdage, at omkostningerne ved afhjælpning langt overstiger omkostningerne ved forebyggelse.

mm

Manoj leder Snyks Emerging Technologies and Solutions Office (ETSO). Hans team er ansvarlig for virksomhedens inkubation og fremtidige erhvervsstrategi, således at Snyks lange sigtige vision og strategi er fuldt ud i overensstemmelse med de fremvoksende behov hos vores kunder. Før Snyk, fungerede Manoj som Chief Cloud Officer og General Manager of Metallic at Commvault, hvor han accelererede væksten af virksomhedens afgørende cloud- og SaaS-forretningsenheder. Tidligere var han medstifter og CEO af HyperGrid og har haft yderligere produktlederroller hos Hewlett Packard Enterprise, Dell EMC og RSA Security. Manoj har også mere end et dusin informationsteknologi- og sikkerhedspatenter.