Há apenas dois meses, pesquisadores do Laboratório de Inteligência de Dados da Universidade de Hong Kong introduzido CLI-Qualquer coisauma nova ferramenta de última geração que analisa o código-fonte de qualquer repositório e gera uma interface de linha de comando (CLI) estruturada que os agentes de codificação de IA podem operar com um único comando.
Claude Code, Codex, OpenClaw, Cursor e GitHub Copilot CLI são todos suportados e, desde seu lançamento em março, CLI‑Anything alcançou mais de 30.000 estrelas no GitHub.
Mas o mesmo mecanismo que torna o software nativo do agente abre a porta para o envenenamento no nível do agente. TA comunidade de ataque já está discutindo as implicações no X e nos fóruns de segurança, traduzindo a arquitetura do CLI-Anything em manuais ofensivos.
O problema de segurança não é o que CLI-Qualquer coisa faz. É o que CLI-Anything representa.
CLI-Anything gera arquivos SKILL.md, os mesmos artefatos da camada de instruções que Pesquisa ToxicSkills de Snyk encontrado junto com 76 cargas maliciosas confirmadas em ClawHub e skills.sh em fevereiro de 2026. Uma definição de habilidade envenenada não aciona um CVE e nunca aparece em uma lista de materiais de software (SBOM). Nenhum scanner de segurança convencional possui uma categoria de detecção de instruções maliciosas incorporada nas definições de habilidades do agente, porque a categoria simplesmente não existia há dezoito meses.
A Cisco confirmou a lacuna em abril. “As ferramentas tradicionais de segurança de aplicativos não foram projetadas para isso”, disse a equipe de engenharia da Cisco escreveu em uma postagem no blog anunciando seu AI Agent Security Scanner para IDEs. “SAST [static application security testing] scanners analisam a sintaxe do código-fonte. SCA [software composition analysis] ferramentas verificam versões de dependência. Nenhum dos dois entende a camada semântica onde o MCP [Model Context Protocol] descrições de ferramentas, prompts de agentes e definições de habilidades funcionam.”
Merritt Baer, CSO da Enkrypt AI e ex-vice-CISO da Amazon Web Services (AWS), disse ao VentureBeat em uma entrevista exclusiva: “SAST e SCA foram construídos para código e dependências. Eles não inspecionam instruções”.
Esta não é uma vulnerabilidade de fornecedor único. É uma lacuna estrutural na forma como toda a indústria de segurança monitoriza as cadeias de fornecimento de software. Esta é a janela de pré-exploração. CLI-Anything está ativo, a comunidade de ataque está discutindo isso e os diretores de segurança que atuam agora se antecipam ao primeiro relatório de incidente.
A camada de integração que nenhuma pilha pode ver
A segurança tradicional da cadeia de abastecimento opera em duas camadas. A camada de código é onde o SAST funciona, verificando os arquivos de origem em busca de padrões inseguros, falhas de injeção e segredos codificados. A camada de dependência é onde o SCA funciona, verificando versões de pacotes em relação a vulnerabilidades conhecidas, gerando SBOMs e sinalizando bibliotecas desatualizadas.
Ferramentas de ponte de agente como CLI-Anything, conectores MCP, arquivos de regras de cursor e habilidades de código Claude operam em uma terceira camada entre as outras duas. Chame-a de camada de integração de agentes: arquivos de configuração, definições de habilidades e conjuntos de instruções em linguagem natural informam a um agente de IA o que o software pode fazer e como operá-lo. Nada disso parece código. Tudo isso é executado como código.
Carter Rees, vice-presidente de IA da Reputaçãodisse ao VentureBeat em uma entrevista exclusiva: “LDMs modernos [large language models] dependem de plug-ins de terceiros, introduzindo vulnerabilidades na cadeia de suprimentos onde ferramentas comprometidas podem injetar dados maliciosos no fluxo da conversa, ignorando o treinamento interno de segurança.”
Pesquisadores da Universidade Griffith, da Universidade Tecnológica de Nanyang, da Universidade de Nova Gales do Sul e da Universidade de Tóquio documentaram a cadeia de ataque em um artigo de abril: “Ataques de envenenamento da cadeia de suprimentos contra ecossistemas de habilidades de agentes de codificação LLM.” A equipe introduziu o Document-Driven Implicit Payload Execution (DDIPE), uma técnica que incorpora lógica maliciosa em exemplos de código na documentação de habilidades.
Em quatro estruturas de agentes e cinco grandes modelos de linguagem, o DDIPE alcançou taxas de desvio entre 11,6% e 33,5%. A análise estática capturou a maioria das amostras, mas 2,5% escaparam de todas as quatro camadas de detecção. A divulgação responsável levou a quatro vulnerabilidades confirmadas e duas correções de fornecedores.
Os líderes de segurança da cadeia de destruição precisam auditar
Esta é a anatomia da cadeia de eliminação: um invasor envia um arquivo SKILL.md para um projeto de código aberto contendo instruções de configuração, exemplos de código e modelos de configuração. Parece documentação padrão. Um revisor de código iria aceitá-lo porque nada disso é executável. Mas os exemplos de código contêm instruções incorporadas que um agente analisará como diretivas operacionais.
Um desenvolvedor usa uma ferramenta de ponte de agente para conectar seu agente de codificação ao repositório. O agente ingere a definição de habilidade e confia nela, porque não existe nenhuma camada de verificação para distinguir intenções benignas de maliciosas no nível de instrução.
O agente executa a instrução incorporada usando suas próprias credenciais legítimas. A detecção e resposta de endpoint (EDR) vê uma chamada de API aprovada de um processo autorizado e a transmite. A exfiltração de dados, as alterações de configuração e a coleta de credenciais passam por canais que a pilha de monitoramento considera tráfego normal.
Rees identificou a falha estrutural que torna esta cadeia letal. “Uma vulnerabilidade significativa na IA corporativa é o controle de acesso quebrado, onde o plano de autorização plano de um LLM não respeita as permissões do usuário”, disse ele ao VentureBeat. Uma definição de habilidade comprometida que percorre esse plano de autorização simples não precisa escalar privilégios. Já os tem. Cada elo dessa cadeia é invisível para a pilha de segurança atual.
Segurança do Pilar demonstrada uma variante desta cadeia contra o Cursor em janeiro de 2026 (CVE-2026-22708). Comandos integrados do shell implicitamente confiáveis podem ser envenenados por meio de injeção indireta de prompt, convertendo comandos benignos do desenvolvedor em vetores de execução de código arbitrários. Os usuários viram apenas o comando final. O envenenamento aconteceu através de outros comandos que o IDE nunca apareceu para aprovação.
A evidência já está em produção
Em um cadeia de ataque documentada a partir de abril de 2026, um título de problema elaborado no GitHub acionou um bot de triagem de IA conectado ao Cline. O bot exfiltrou um GITHUB_TOKEN, que o invasor usou para publicar uma dependência npm comprometida que instalou um segundo agente em cerca de 4.000 máquinas de desenvolvedores por oito horas. Havia apenas um título de edição. Os invasores tiveram oito horas de acesso. Nenhum humano aprovou a ação.
A auditoria ToxicSkills de Snyk examinou 3.984 habilidades de agentes de Garra Hubo mercado público para a estrutura de agente OpenClaw, e skills.sh em fevereiro de 2026. Os resultados: 13,4% de todas as habilidades continham pelo menos um problema crítico de segurança. Os envios diários de habilidades saltaram de menos de 50 em meados de janeiro para mais de 500 no início de fevereiro. A barreira para a publicação era um arquivo markdown SKILL.md e uma conta GitHub com uma semana de existência. Sem assinatura de código. Nenhuma revisão de segurança. Sem caixa de areia.
OpenClaw não é uma exceção. É o padrão. “A barreira de entrada é extremamente baixa”, disse Baer. “Adicionar uma habilidade pode ser tão simples quanto carregar um documento do Word ou um arquivo de configuração leve. Esse é um perfil de risco radicalmente diferente do código compilado.” Ela apontou para projetos como Patrulha de Garra que começaram a catalogar e verificar habilidades maliciosas, prova de que o ecossistema está se movendo mais rápido do que as defesas corporativas.
O Campanha ClawHavocrelatado pela primeira vez pela Koi Security no final de janeiro de 2026, identificou inicialmente 341 habilidades maliciosas no ClawHub. Uma análise de acompanhamento da Antiy CERT expandiu a contagem para 1.184 pacotes comprometidos em toda a plataforma. A campanha entregou Atomic Stealer (AMOS) por meio de definições de habilidades com documentação profissional. As habilidades chamadas solana-wallet-tracker e polymarket-trader correspondiam ao que os desenvolvedores procuravam ativamente.
A camada do protocolo MCP apresenta exposição semelhante. Segurança OX reportada em abril, os pesquisadores envenenaram nove dos 11 mercados MCP usando servidores de prova de conceito. A Trend Micro encontrou inicialmente 492 servidores MCP expostos à Internet sem autenticação; em abril, esse número havia crescido para 1.467. Como O Registro informoua raiz do problema está no mecanismo de transporte do kit de desenvolvimento de software (SDK) MCP da Anthropic. Qualquer desenvolvedor que use o SDK oficial herda a classe de vulnerabilidade.
Matriz Prescritiva VentureBeat: Auditoria da cadeia de suprimentos de agentes de três camadas
A VentureBeat desenvolveu uma Matriz Prescritiva mapeando as três camadas de ataque documentadas na pesquisa e nos relatórios de incidentes acima em relação aos recursos de detecção das ferramentas atuais de SAST, SCA e camada de agente. Cada linha identifica o que as equipes de segurança devem verificar e onde nenhum scanner tem cobertura atualmente.
|
Camada |
Ameaça |
Detecção atual |
Por que sente falta |
Ação recomendada |
|
1. Código |
Injeção imediata em código gerado por IA |
Scanners SAST |
A maioria das ferramentas SAST não possui categoria de detecção para injeção imediata em código gerado por IA |
Confirme se o SAST verifica o código gerado pela IA para injeção imediata. Caso contrário, converse abertamente com o fornecedor neste trimestre. |
|
2. Dependências |
Servidores MCP maliciosos, habilidades de agentes, registros de plug-ins |
Ferramentas SCA |
O SCA não gera nenhuma lista de materiais específica para IA. As dependências da camada de agente são invisíveis. |
Confirme se o SCA inclui servidores MCP, habilidades do agente e registros de plug-ins no inventário de dependências. |
|
3. Integração de agentes |
Arquivos SKILL.md envenenados, conjuntos de instruções maliciosas, arquivos de regras adversárias |
Nenhum até abril de 2026 |
Nenhuma ferramenta inspeciona o significado semântico dos arquivos de instruções do agente. Baer: “Não estamos inspecionando a intenção.” |
Implante o Cisco Skill Scanner ou o Snyk mcp-scan. Designe uma equipe para ser proprietária desta camada. |
O diagnóstico de Baer sobre a Camada 3 aplica-se a toda a matriz: “Os scanners atuais procuram por artefactos conhecidos e não por instruções adversárias incorporadas em competências que de outra forma seriam válidas”. Skill Scanner de código aberto da Cisco e Varredura mcp de Snyk representam as primeiras ferramentas criadas especificamente para esta camada.
Plano de ação do diretor de segurança
Veja como os líderes de segurança podem se antecipar ao problema.
Faça um inventário de todas as ferramentas de ponte de agente no ambiente. Isso inclui CLI-Qualquer coisaconectores MCP, arquivos de regras de cursor, Código Claude habilidades, Copiloto GitHub extensões. Se a equipe de desenvolvimento estiver usando ferramentas de ponte entre agentes que não foram inventariadas, o risco não poderá ser avaliado.
Audite as fontes de habilidades do agente da mesma forma que os registros de pacotes são auditados. O enquadramento de Baer é preciso: “Uma habilidade é efetivamente uma intenção executável não confiável, mesmo que seja apenas texto”. Desligue caminhos de ingestão não controlados até que os controles estejam no lugar. Crie um processo de revisão e lista de permissões para habilidades. O Top 10 de habilidades de agente OWASP (AST01: Habilidades Maliciosas) fornece a estrutura de aquisição para alinhar os controles.
Implante a verificação da camada de agente. Avaliar Skill Scanner de código aberto da Cisco e Varredura mcp de Snyk para análise comportamental de arquivos de instruções de agentes. Se ferramentas dedicadas não estiverem disponíveis, solicite que um segundo engenheiro leia cada SKILL.md antes da instalação.
Restrinja os privilégios de execução do agente e o tempo de execução do instrumento. Os agentes de codificação de IA não devem ser executados com o mesmo escopo de credenciais do desenvolvedor que os invocou. Rees confirmou a falha estrutural: o plano de autorização plano significa que uma habilidade comprometida não precisa escalar privilégios. A prescrição de Baer: “Observabilidade do tempo de execução do instrumento. Quais dados o agente está acessando, quais ações ele está executando e estão alinhadas com o comportamento esperado?”
Atribua propriedade para a lacuna entre as camadas. Os ataques mais perigosos são bem-sucedidos porque se enquadram nas categorias de detecção. Designe uma equipe para ser proprietária da camada de integração de agentes. Revise cada arquivo SKILL.md, configuração do MCP e regras antes de entrar no ambiente.
A lacuna que já tem nome
Baer ressaltou os perigos deste novo vetor de ataque. “Isso parece muito semelhante à segurança inicial de contêineres, mas ainda estamos na fase de ‘chegaremos lá’ na maioria das organizações”, disse ela. Ela acrescentou que, na AWS, foram necessárias algumas chamadas de atenção de alto nível antes que a segurança dos contêineres se tornasse uma aposta importante. A diferença desta vez é a velocidade. “Não há pipeline de construção, nem barreira de compilação. Apenas conteúdo”, disse ela.
CLI-Qualquer coisa não é a ameaça. É a prova de que a camada de integração de agentes existe, que está crescendo rapidamente e que a comunidade invasora já a encontrou. Os 33.000 desenvolvedores que estrelaram o repositório estão informando às equipes de segurança para onde está indo o desenvolvimento de software. Há dezoito meses, a categoria de detecção para envenenamento da camada de integração do agente não existia. Cisco e Snyk enviaram as primeiras ferramentas para isso em abril. A janela entre esses dois fatos está se fechando. Os diretores de segurança que não iniciaram o inventário já estão atrasados.
