När AI blir attackytan: Framväxande leverantörsledningsrisker på färdighetsmarknader

Varje stor programvarurevolution introducerar en ny leverantörsledning och attackyta. När den öppna källkodseras introducerade leverantörsledningsrisker via paketregister som npm och PyPI, markerar AI-agenter nu en vändpunkt. Dessa agenter, som är aktiva i utvecklarmiljöer, företagsverksamhet och konsumenttillämpningar på plattformar som OpenClaw, Claude Code och Cursor, får kraft från sina tillägg via installerbart “färdigheter” – en funktion som kräver en lika rigorös tillvägagångssätt för säkerhet.

AI-färdigheter är paket med funktioner: små paket med instruktioner och skript som ger AI-agenter tillgång till verktyg, externa API:er och lokala filsystem. Distribuerade på offentliga plattformar som ClawHub är inträdesbarriären extremt låg, med minimal granskning eller tillsyn. Viktiga säkerhetsåtgärder som obligatorisk kodsignering, säkerhetsgranskningar och standard-sandboxning saknas. Detta har lett till en leverantörsledning som är komprometterad i stor skala: nylig ToxicSkills-forskning som scannade nästan 4 000 färdigheter fann att ungefär 1 av 8 innehåller minst en kritisk säkerhetsbrist, inklusive malware-utbredning och prompt-injektion. När man utvidgar till alla allvarlighetsnivåer påverkas mer än en tredjedel av ekosystemet. Således måste säkerhetsledare vara beredda att proaktivt mildra dessa sårbarheter.

AI-leverantörsledningsattackens anatomi

Leverantörsledningsattacker utnyttjar traditionellt kod genom skadliga funktioner som injiceras i beroenden och CI-arbetsflöden för åtgärder som dataexfiltration, bakdörrar eller behörighetsuppgradering. Säkerhetsverktyg har dock blivit effektiva för att upptäcka dessa kodmönster med hjälp av statisk analys och beteendeanalys. AI-agenter introducerar en annan vektor helt, eftersom deras primära last är naturligt språk, inneslutet i SKILL.md-filen – en instruktionsuppsättning som skadliga aktörer har lärt sig att använda som vapen. ToxicSkills-forskningen visar 91% av skadliga färdigheter kombinerar traditionell malware med prompt-injektion, inbäddande dolda instruktioner som manipulerar agentens körtidsskäl.

Attackflödet är enkelt: en utvecklare installerar en användbar färdighet, som innehåller en dold prompt-injektion utformad för att åsidosätta agentens säkerhetsstängsel. Agenten, som följer instruktioner som den inte kan skilja från legitima, stjäl autentiseringsuppgifter, exfiltrerar filer eller installerar en bakdörr medan den verkar fungera normalt.

Detta är alarmerande på grund av antalet utvecklare som kör agenter utan regelbundna säkerhetskontroller, vilket ger agenterna full autonomi utan stängsel. Som ett resultat minskas noggrann övervägande och mänsklig inblandning avsevärt, vilket presenterar mer risk för varje system som agenten har berört.

Den dolda faran med “läckande” färdigheter

Faran sträcker sig bortom avsiktligt skadliga färdigheter, eftersom oavsiktliga sårbarheter ofta är svårare att upptäcka, mer utbredda och inbäddade i populära, betrodda funktionella färdigheter. Säkerhetsgranskningar av stora färdighetsmarknader visar att allmänt antagna färdigheter rutinmässigt tvingar AI-agenter att hantera känslig data osäkert. Riskfyllt beteende inkluderar exponering av API-nycklar, autentiseringstoken och personuppgifter via plaintext-loggar, oskyddade filer eller direkt i modellens kontextfönster, där de kan överföras oavsiktligt till tredjeparts-tjänster.

Detta beror ofta på att färdigheter byggs snabbt i eran av “vibe-kodning” utan en verklig säkerhetsmodell. Utvecklaren kan försumma att en integreringstoken, när den väl är i agentens kontext, i princip är öppen och synlig för varje nedströms-system. Detta skapar en omfattande risk över plattformar – personliga assistenter som OpenClaw och kodningsagenter som Claude Code, Cursor och Windsurf – som miljontals utvecklare förlitar sig på dagligen. Utnyttjandet eller läckaget av autentiseringsuppgifter från en enda populär färdighet kan påverka varje utvecklare, kodbas och system som agenten hade tillgång till, vilket därmed lämnar hela leverantörsledningen i fara. Snabb innovation möjliggör snabb förorening; och i dessa fall är skala inte en signal för säkerhet.

Blindfläcken: Varför traditionella säkerhetskontroller misslyckas

Säkerhetsteam som arbetar med äldre kontroller som malware-scanners, statisk analys och beteendeanalys, hanterar en fundamentalt annorlunda hotmodell. Traditionell malwaredetektion söker efter konkret kodexploatering, men är inte utrustad för att analysera naturligt språk för adversarial avsikt. En prompt-injektion i en SKILL.md-fil verkar, för en konventionell scanner, bara som dokumentation; det finns inget signatur att flagga förrän agenten agerar.

Prompt-injektioner manipulerar agentens resonemang, vilket får den att tolka om instruktioner och åsidosätta säkerhetsriktlinjer för att fortsätta med förbjudna åtgärder. När skadan är synlig har agenten redan agerat. Den bestående karaktären hos dessa hot är också oroande: skadliga färdigheter kan förgifta en agents långsiktiga minne, korrumpera bestående kontext över sessioner. Detta “sleeper agent”-scenario innebär att agenten kan fortsätta att utföra skadliga instruktioner veckor efter att färdigheten har tagits bort, en situation som konventionell incidenthantering inte kan innehålla. Att stänga denna lucka kräver ett fundamentalt annorlunda, AI-nativt tillvägagångssätt som är byggt för agenter.

Upptäcka och åtgärda brister i AI-färdighetsekosystemet

Detta nya hot är hanterbart, men fönstret för att agera är smalt. Innan AI-agentadoptionen etableras behöver säkerhetsledare etablera fyra kärnkontroller: granskningar, tidig upptäckt, roterande autentiseringsuppgifter och korrekta AI-stängsel.

1. Granska och inventera: Etablera en komplett inventering av varje AI-komponent: modeller, distribuerade agenter och alla installerade färdigheter. Detta måste behandlas med samma rigor som en mjukvarubeskrivning (SBOM) för att skapa en baslinje för att upptäcka obehöriga ändringar.
2. Upptäck och ta bort: Kontinuerligt scanna aktiva färdigheter för skadliga laster, prompt-injektionsmönster och misstänkta beteenden, inklusive försök att köra shell-kommandon eller kringgå användarövervakning. Automatisk, kontinuerlig scanning är avgörande med tanke på den snabba tillväxten av marknader.
3. Rotera och skydda autentiseringsuppgifter: Behandla alla autentiseringsuppgifter (API-nycklar, token) som hanteras av overifierade färdigheter som potentiellt komprometterade och rotera dem omedelbart. Agenter måste följa principen om minsta behörighet, med åtkomst endast till genuint behövda autentiseringsuppgifter och system, utan stående åtkomst till produktionsmiljöer.
4. Implementera AI-stängsel: Distribuera körtidsskyddskontroller som övervakar agentbeteende i realtid, blockerar farliga åtgärder och flaggar avvikande mönster som oväntad filåtkomst. Agentminnesfiler, i synnerhet, bör övervakas för obehöriga ändringar, eftersom minnesförgiftning är en bestående och svårupptäckt attackvektor.

AI-färdighetsekosystemet är en mjukvaruleverantörsledning som kräver rigorös säkerhetsövervakning. Medan lärdomarna från den öppna källkodseras gäller, är insatserna nu mycket högre, eftersom AI-agenter opererar med bredare behörigheter och större autonomi än någon pakethanterare någonsin gjort. En enda komprometterad färdighet kan snabbt spridas, få åtkomst till kärnautentiseringsuppgifter och produktionsystem över tusentals organisationer, så säkerhetsledare har ett smalt fönster för att agera proaktivt.

AI-leverantörsledningen är redan här. Frågan är om en organisations säkerhetspostur är redo för det. Organisationer som etablerar inventering, upprättar minsta behörighet och distribuerar körtidsskydd kommer att flytta snabbt med AI på ett säkert sätt; medan de som väntar på ett högprofilerat incident för att tvinga frågan kommer att upptäcka att kostnaden för avhjälpning vida överstiger kostnaden för förebyggande.