技術的な説明
浙江大学の研究者らは、自律型コーディング・エージェントを狙ったペイロードレスなサプライチェーン攻撃であるSemantic Compliance Hijacking (SCH)を公開した。この攻撃は悪意のある目標を非構造化された自然言語命令に変換し、コンプライアンス・ルールとしてフォーマットして、エージェントが実行時に無許可のコードを生成して実行させる。SCHは認識可能なコード・ペイロードと抽象構文木シグネチャを省略しているため、操作されたスキル・ファイルは現在のスキャニング・ツールに対して0.00%の検出率を維持した。
攻撃経路
攻撃者はClawHubなどのマーケットプレイスを通じて配布されるエージェント・スキル説明ファイル内に、必要なコンプライアンス・ルールに偽装した自然言語命令を埋め込む。エージェントがスキルをロードする際、埋め込まれた命令を権限のある運用指令として扱い、悪意のあるコードを動的に合成する。この攻撃は、3つの主流のエージェント・フレームワーク(OpenClaw、Claude Code、Codex)と3つの基盤モデルにおいて、機密性侵害で最大77.67%、リモートコード実行で67.33%のピーク成功率を達成した。
影響を受けるシステム
OpenClaw、Claude Code、Codexを含むオープン・マーケットプレイスから第三者スキルをロードするAIエージェント・フレームワーク、およびスキル・ローディング・アーキテクチャを備いた同様のエージェント・システム。この攻撃は現在のStatic Application Security Testing (SAST)ツールおよびSkillScanなどのスキル・スキャナーをバイパスする。
緩和策
シグネチャベースのスキル・スキャニングから意図のセマンティック検証への移行。スキル・ソースを監査し、スキル・インストールを検証済みリポジトリに制限する。実行前のエージェント生成コードのランタイム監視を実装する。エージェント・ワークロードの最小権限実行コンテキストを適用する。エージェントのシステムレベル権限(ファイルシステム・アクセス、シェル・コマンド実行、ネットワーク接続性)を確認し、可能な限りサンドボックス化を強制する。