Penjelasan teknis
Peneliti dari Zhejiang University mengungkapkan Semantic Compliance Hijacking (SCH), serangan supply chain tanpa payload yang menargetkan agen coding otonom. Serangan ini menerjemahkan tujuan berbahaya ke dalam instruksi bahasa alami yang tidak terstruktur diformat sebagai aturan kepatuhan, menyebabkan agen menghasilkan dan mengeksekusi kode tidak sah saat runtime. Karena SCH menghilangkan payload kode yang dapat dikenali dan tanda tangan Abstract Syntax Tree, file keterampilan yang dimanipulasi mempertahankan tingkat deteksi 0.00% terhadap alat pemindaian saat ini.
Vektor serangan
Penyerang menyematkan instruksi bahasa alami yang menyamar sebagai aturan kepatuhan yang diperlukan dalam file deskripsi keterampilan agen yang didistribusikan melalui pasar seperti ClawHub. Ketika agen memuat keterampilan, ia memperlakukan instruksi tertanam sebagai direktif operasional yang berwibawa dan mensintesis kode berbahaya secara dinamis. Serangan mencapai tingkat kesuksesan puncak 77.67% untuk pelanggaran kerahasiaan dan 67.33% untuk eksekusi kode jarak jauh di tiga kerangka kerja agen utama (OpenClaw, Claude Code, Codex) dan tiga model fondasi.
Sistem yang terdampak
Kerangka kerja agen AI yang memuat keterampilan pihak ketiga dari pasar terbuka, termasuk OpenClaw, Claude Code, Codex, dan sistem agentic serupa dengan arsitektur pemuatan keterampilan. Serangan ini memotong alat Static Application Security Testing (SAST) saat ini dan pemindai keterampilan seperti SkillScan.
Mitigasi
Transisi dari pemindaian keterampilan berbasis tanda tangan ke validasi maksud semantik. Audit sumber keterampilan dan batasi instalasi keterampilan ke repositori yang telah disaring. Implementasikan pemantauan runtime kode yang dihasilkan agen sebelum eksekusi. Terapkan konteks eksekusi least-privilege untuk beban kerja agen. Tinjau hak istimewa tingkat sistem agen—akses sistem file, eksekusi perintah shell, konektivitas jaringan—dan berlakukan sandboxing jika dapat dilakukan.