Lideri de opinie

Când AI devine suprafața de atac: Riscuri emergente în lanțul de aprovizionare al piețelor de abilități

mm
Publicat

Fiecare revoluție majoră a software-ului introduce un nou lanț de aprovizionare și o nouă suprafață de atac. Așa cum era introducerea riscurilor lanțului de aprovizionare prin registre de pachete precum npm și PyPI, agenții AI marchează un punct de inflexiune. Acești agenți, activi în fluxurile de lucru ale dezvoltatorilor, operațiunile întreprinderilor și aplicațiile consumatorilor pe platforme precum OpenClaw, Claude Code și Cursor, obțin putere din extensiile lor prin abilități instalabile “abilități” – o capacitate care necesită o abordare la fel de riguroasă a securității.

Abilitățile agenților sunt pachete de capacități: mici pachete de instrucțiuni și scripturi care acordă agenților AI acces la unelte, API-uri externe și sisteme de fișiere locale. Distribuite pe platforme publice precum ClawHub, bariera de intrare este extrem de scăzută, cu minimă verificare sau supraveghere. Măsurile de securitate cheie, cum ar fi semnătura de cod obligatorie, reviziile de securitate și sandboxarea implicită, lipsesc. Acest lucru a condus la un lanț de aprovizionare compromis la scară: cercetarea recentă ToxicSkills, care a scanat aproape 4.000 de abilități, a găsit aproximativ 1 din 8 conțin cel puțin o eroare de securitate critică, inclusiv distribuirea de malware și injecția de prompt. Când se extinde la orice nivel de gravitate, peste o treime din ecosistem este afectat. Prin urmare, liderii de securitate trebuie să fie pregătiți să atenueze proactiv aceste vulnerabilități.

Anatomia unui atac de lanț de aprovizionare AI

Atacurile de lanț de aprovizionare tradiționale exploatează codul prin funcții malicioase injectate în dependențe și fluxuri de lucru CI pentru acțiuni precum exfiltrarea datelor, instalarea de backdoor-uri sau escaladarea privilegiilor. Cu toate acestea, instrumentele de securitate au devenit eficiente în detectarea acestor modele de cod utilizând analiza statică și monitorizarea comportamentală. Abilitățile agenților AI introduc un vector diferit, deoarece încărcătura lor primară este reprezentată de limbajul natural, conținut în fișierul SKILL.md – un set de instrucțiuni pe care actorii malicioși au învățat să le folosească. Cercetarea ToxicSkills arată că 91% din abilitățile malicioase combină malware-ul tradițional cu injecția de prompt, încorporând instrucțiuni ascunse care manipulează raționamentul agentului în timpul execuției.

Fluxul de atac este simplu: un dezvoltator instalează o abilitate utilă, care conține o injecție de prompt ascunsă, proiectată pentru a anula bariera de securitate a agentului. Agentul, urmând instrucțiunile pe care nu le poate deosebi de cele legitime, fură credențiale, extrage fișiere sau instalează un backdoor, în timp ce pare să funcționeze normal.

Acest lucru este alarmant din cauza numărului de dezvoltatori care rulează agenți fără verificări de securitate regulate, oferind agenților autonomie deplină fără bariera de securitate. Ca urmare, considerarea atentă și intervenția umană sunt minimizate, prezentând un risc mai mare pentru fiecare sistem pe care agentul l-a atins vreodată.

Pericolul ascuns al “abilităților cu scurgeri”

Pericolul se extinde dincolo de abilitățile intenționat malicioase, deoarece vulnerabilitățile neintenționate sunt adesea mai greu de detectat, mai răspândite și încorporate în abilități funcționale populare și de încredere. Auditurile de securitate ale principalelor piețe de abilități arată că abilitățile adoptate pe scară largă obligă agenții AI să manipuleze date sensibile în mod nesigur.

Acest lucru se datorează adesea faptului că abilitățile sunt create rapid, în era “vibe coding“, fără un model real de securitate. Dezvoltatorul poate ignora faptul că un token de integrare, odată ce se află în contextul agentului, este efectiv deschis și vizibil pentru fiecare sistem downstream. Acest lucru creează un risc generalizat pe platforme – asistenți personali precum OpenClaw și agenți de codare precum Claude Code, Cursor și Windsurf – pe care milioane de dezvoltatori îi folosesc zilnic. Exploatarea sau scurgerea de credențiale dintr-o singură abilitate populară poate afecta fiecare dezvoltator, bază de cod și sistem pe care agentul a avut acces, lăsând astfel întregul lanț de aprovizionare în pericol. Inovația rapidă permite contaminarea rapidă; și în aceste cazuri, scala nu este un semnal de siguranță.

Punctul orb: De ce controalele de securitate tradiționale eșuează

Echipele de securitate care funcționează cu controale legacy, cum ar fi scanere de malware, analiza statică și monitorizarea comportamentală, abordează un model de amenințare fundamental diferit. Detectarea malware-ului tradițională caută exploatarea codului concret, dar nu este echipată pentru a analiza instrucțiunile de limbaj natural pentru intenția adversă. O injecție de prompt într-un fișier SKILL.md pare, pentru un scanner convențional, doar documentație; nu există niciun semnal care să o semnaleze până când agentul acționează.

Injecțiile de prompt manipulează raționamentul agentului, determinându-l să reinterpreteze instrucțiunile și să anuleze ghidurile de securitate pentru a efectua acțiuni interzise. Până când daunele sunt vizibile, agentul a acționat deja. Persistența acestor amenințări este, de asemenea, îngrijorătoare: abilitățile malicioase pot otrăvi memoria pe termen lung a agentului, corupând contextul persistent pe parcursul sesiunilor. Acest scenariu de “agent dormant” înseamnă că agentul poate continua să execute instrucțiuni malicioase săptămâni după ce abilitatea a fost eliminată, o situație pe care răspunsul convențional la incidente nu o poate conține. Închiderea acestei lacune necesită o abordare fundamental diferită, nativă pentru sistemele agenților.

Detectarea și corectarea defectelor în ecosistemul abilităților agenților

Această nouă amenințare este gestionabilă, dar fereastra de acțiune este îngustă. Înainte ca adoptarea agenților AI să se înrădăcineze, liderii de securitate trebuie să stabilească patru controale de bază: audituri, detectare timpurie, rotirea credențialelor și bariera de securitate AI corespunzătoare.

  1. Audit și inventar: Stabiliți un inventar complet al fiecărui component AI: modele, agenți implementați și toate abilitățile instalate. Acesta trebuie tratat cu rigurozitatea unui software bill of materials (SBOM) pentru a crea o bază pentru detectarea schimbărilor neautorizate.
  2. Detectați și înlăturați: Scanați continuu abilitățile active pentru încărcături malicioase, modele de injecție de prompt și comportamente suspecte, inclusiv încercări de a executa comenzi shell sau de a ocoli supravegherea utilizatorului. Scanarea automată și continuă este esențială, având în vedere creșterea rapidă a piețelor.
  3. Rotați și protejați credențialele: Tratați orice credențiale (chei API, token-uri) manipulate de abilități neverificate ca fiind potențial compromise și rotiți-le imediat. Agenții trebuie să respecte principiul privilegiului minim, accesând doar credențiale și sisteme realmente necesare, fără acces permanent la medii de producție.
  4. Implementați bariera de securitate AI: Implementați controale de protecție la runtime care monitorizează comportamentul agentului în timp real, blocând acțiuni periculoase și semnalizând modele anormale, cum ar fi accesul neașteptat la fișiere. Fișierele de memorie ale agentului, în special, trebuie monitorizate pentru modificări neautorizate, deoarece otrăvirea memoriei este un vector de atac persistent și dificil de detectat.

Ecosistemul abilităților agenților AI este un lanț de aprovizionare software care necesită supraveghere riguroasă a securității. În timp ce lecțiile din era deschisă sursă se aplică, mizele sunt acum mult mai mari, deoarece agenții AI operează cu permisiuni mai largi și o autonomie mai mare decât orice manager de pachete a făcut vreodată. O singură abilitate compromisă poate propaga rapid, obținând acces la credențiale de bază și sisteme de producție în mii de organizații, astfel încât liderii de securitate au o fereastră de acțiune îngustă pentru a acționa proactiv.

Lanțul de aprovizionare AI este deja aici. Întrebarea este dacă postura de securitate a unei organizații este pregătită pentru acesta. Organizațiile care stabilesc un inventar, impun privilegiul minim și implementează bariera de securitate la runtime vor avansa rapid și în siguranță cu AI; în timp ce cele care așteaptă un incident de mare amploare pentru a forța problema vor descoperi că costul remedierii depășește cu mult costul prevenirii.

mm

Manoj conduce biroul Snyk pentru tehnologii emergente și soluții (ETSO). Echipa sa este responsabilă pentru incubarea și strategia de achiziție viitoare a companiei, asigurându-se că viziunea și strategia pe termen lung a Snyk sunt pe deplin aliniate cu nevoile emergente ale clienților noștri. Înainte de a se alătura Snyk, Manoj a ocupat funcția de ofițer șef al cloud-ului și director general al Metallic la Commvault, unde a accelerat creșterea unităților de afaceri cloud și SaaS ale companiei. Anterior, a fost co-fondator și CEO al HyperGrid și a ocupat funcții suplimentare de conducere a produsului la Hewlett Packard Enterprise, Dell EMC și RSA Security. Manoj deține, de asemenea, peste o duzină de brevete de management al informațiilor și securitate.