技术说明
浙江大学研究人员披露了语义合规劫持(SCH),这是一种针对自主编码代理的无载荷供应链攻击。该攻击将恶意目标转换为格式化为合规规则的非结构化自然语言指令,导致代理在运行时生成并执行未经授权的代码。由于SCH省略了可识别的代码载荷和抽象语法树签名,被篡改的技能文件对当前扫描工具的检测率保持在0.00%。
攻击途径
攻击者在通过ClawHub等市场分发的代理技能描述文件中嵌入伪装成必要合规规则的自然语言指令。当代理加载技能时,它将嵌入的指令视为权威操作指令并动态合成恶意代码。该攻击在三个主流代理框架(OpenClaw、Claude Code、Codex)和三个基础模型中实现了保密性破坏77.67%和远程代码执行67.33%的峰值成功率。
受影响系统
从开放市场加载第三方技能的AI代理框架,包括OpenClaw、Claude Code、Codex,以及具有技能加载架构的类似代理系统。该攻击绕过了当前的静态应用程序安全测试(SAST)工具和SkillScan等技能扫描器。
缓解措施
从基于签名的技能扫描转向语义意图验证。审计技能来源并限制技能安装到经过审查的存储库。在执行前实施代理生成代码的运行时监控。为代理工作负载应用最小权限执行上下文。审查代理系统级权限——文件系统访问、shell命令执行、网络连接——并在可行的情况下强制执行沙箱。