何が起きたか
セキュリティ企業 AIR は 2026 年 6 月 24 日に、意図的に悪意のある AI エージェントスキル(「brand-landingpage」)が Cisco、Nvidia、skills.sh のセキュリティスキャナーをパスし、人気のあるオープンソースエージェントスキルリポジトリ(GitHub スター 36,000)にマージされたことを実証する調査を公開しました。スキルは、攻撃者が制御するドメイン(stitch-design.ai、Google の stitch.withgoogle.com を模倣)からインストール手順を取得するようにエージェントに指示しました。ドメインは初期状態で正当なサイトにリダイレクトし、静的レビューをパスしました。約 26,000 エージェント(企業アカウントを含む)への配布後、AIR はドメイン背後のペイロードをドメイン経由で変更し、実行中のエージェントのホストでスクリプトを実行するように変更しました。テストのスクリプトはメールアドレスのみを収集しましたが、AIR は同じ技術がマシン実行中のエージェントを完全に侵害できることを確認しました。
なぜ重要か
このライブ実験は、現在の AI エージェントスキル審査における体系的な盲点を証明しています:スキャナーはレビュー時にパッケージされたファイルを分析しますが、スキルによって参照される可変外部 URL を経由した承認後に行われたペイロード変更は検出できません。エージェントに外部リソースをポイントする任意のスキルは、信頼が付与された後に武器化できます。企業アカウントは、26,000 の影響を受けたエージェントに含まれていたため、エンタープライズ AI ワークフローが攻撃到達範囲内にありました。これは新興 AI エージェントスキルエコシステムに固有の供給チェーン攻撃クラスです。
攻撃経路
攻撃者は信頼できるリポジトリにベナイン外観のスキルを送信します。スキルが静的セキュリティスキャンをパスします。悪意のあるペイロードが初期状態で正当にリダイレクトする外部ドメインでホストされているためです。配布後、攻撃者は外部ドメインのコンテンツを変更し、エージェントが ホストで実行する悪意のあるスクリプトを配信します
影響を受けるシステム
オープンソースリポジトリから SKILL.md スタイルスキルを使用する AI エージェントフレームワーク、スキル指示に埋め込まれた外部 URL をフォローするエージェントランタイム
緩和策
外部 URL をスキル内のコンテンツハッシュにピン留めします。インストール済みスキルによって参照される外部依存関係を継続的に監視します。AI スキルをワンタイム静的レビューではなく、実行時の検証を必要とするライブサードパーティ依存関係として扱います。AIR ブログ:https://www.air.security/blog-posts/the-story-of-skills