Atacurile pe lanțul de aprovizionare însemnau până acum pachete npm otrăvite și biblioteci Python cu nume aproape identice. La mijlocul lui 2026, două campanii au arătat aceeași rețetă mutată pe două ținte noi: skill-urile pe care le instalează agenții tăi AI și codul proof-of-concept pe care îl descarcă echipa ta de securitate.
Experimentul unu: un skill fals care a trecut de toate scanerele
Firma de securitate AIR a rulat un experiment incomod. A construit un skill fals pentru agenți AI, numit brand-landingpage, l-a introdus printr-un pull request într-un marketplace popular de skill-uri (36.000 de stele pe GitHub, moștenite instant), l-a promovat cu o reclamă pe Instagram — și spune că a ajuns la aproximativ 26.000 de agenți, inclusiv pe conturi corporative.
Toate scanerele de securitate pentru skill-uri testate l-au marcat ca sigur — inclusiv cele de la Cisco și NVIDIA.
Trucul a fost elegant și structural. Skill-ul în sine nu conținea nimic malițios; îi spunea doar agentului să urmeze instrucțiunile de instalare de la un link extern. La momentul scanării, linkul afișa documentație legitimă. După ce skill-ul a fost instalat pe scară largă, AIR a înlocuit pagina din spatele linkului cu una care îi cerea agentului să descarce și să ruleze un script. Scanarea se întâmplă o dată; pagina către care arată se poate schimba oricând după. Trail of Bits a demonstrat același bypass cu câteva săptămâni înainte, iar campanii reale folosesc tehnica de luni de zile.
Payload-ul din experiment a colectat doar o adresă de email. Un operator real ar fi avut un punct de sprijin la viteză de agent, cu tot ce putea accesa agentul: fișiere, credențiale, sisteme interne.
Experimentul doi — doar că acesta e real
Pe 1 iulie, YesWeHack și Sekoia au dezvăluit ChocoPoC, o campanie activă care distribuie un troian de acces la distanță prin repository-uri false de exploit proof-of-concept pe GitHub. Țintele sunt exact oamenii care se grăbesc să testeze CVE-uri noi: cercetători de vulnerabilități, red teameri, ingineri de securitate.
Codul PoC vizibil pare curat. Malware-ul se ascunde într-o dependență Python pe care PoC-ul o instalează — așa că supraviețuiește unei revizuiri rapide de cod. Îl rulezi, și îți fură parolele salvate, cookie-urile de browser și fișierele, apoi îi dă atacatorului un shell. La momentul dezvăluirii, campania și serverele ei erau încă active.
Cercetări conexe au completat tabloul: un repository GitHub „curat" a fost demonstrat păcălind agenți AI de programare să execute malware în timpul unor sarcini de rutină — agentul, nu omul, devine cel care rulează payload-ul.
Firul comun
Toate cele trei cazuri exploatează aceeași breșă: verificăm artefactele o dată, dar avem încredere în ele pentru totdeauna — și lăsăm tot mai des software-ul (sau agenții) să acționeze automat pe baza acelei încrederi. Stelele se pot împrumuta. Scanerele citesc un instantaneu. Linkurile externe pot fi rescrise după ce verificarea a trecut. Iar un agent AI urmează instrucțiunile descărcate cu aproximativ aceeași autoritate ca utilizatorul lui.
Apărări practice
- Tratează skill-urile AI ca software, nu ca text. Același proces de intrare ca pentru orice dependență: revizuire, aprobare, instalare dintr-o sursă controlată de tine. Skill-urile trebuie să fie un lanț de aprovizionare cu poartă de control, nu un bazar liber.
- Verifică spre ce arată un skill, nu doar ce conține. Un skill care descarcă instrucțiuni externe la instalare sau în timpul rulării merită atenție suplimentară — acel conținut se poate schimba după verificare. Fixează versiunile; re-verifică la orice schimbare.
- Privilegii minime pentru agenți. Presupune că orice instrucțiune externă adusă de un agent rulează cu accesul agentului. Dimensionează accesul în consecință și controlează ce pot atinge agenții în rețea.
- Nu rula niciodată PoC-uri pe stația de lucru. Codul de exploit de pe GitHub are loc doar într-un VM izolat, de unică folosință, fără credențiale și fără acces la rețeaua companiei — oricât de urgent e CVE-ul și oricât de curat pare repo-ul. Revizuiește dependențele, nu doar scriptul.
- Urmărește traficul de ieșire. Ambele campanii aveau nevoie să „sune acasă". Monitorizarea egress și filtrarea DNS prind ce scapă revizuirii de cod.
- Antrenează oamenii din buclă. Dezvoltatorii și oamenii de securitate sunt acum ținte principale tocmai din cauza a ceea ce rulează. Subiectul aparține programului de conștientizare și trainingului de securitate pentru dezvoltatori — nu doar documentelor de politică.
Concluzia
Suprafața de atac s-a extins discret de la „ce instalează dezvoltatorii tăi" la „ce instalează AI-ul tău și ce citește după aceea". Dacă organizația ta adoptă agenți, acum e momentul să pui o poartă de control pe lanțul lor de aprovizionare — iar dacă vrei ca acea configurație să fie testată de cineva care gândește ca atacatorul, exact asta fac evaluările noastre de securitate AI/LLM.
Acest articol este informare generală bazată pe cercetările publice AIR, Trail of Bits, YesWeHack și Sekoia, așa cum au fost raportate de The Hacker News și BleepingComputer.
