7月6日、Cyber Security Newsが「Agent Skill Malware Targets Claude Code and OpenAI Codex With Scanner-Evasion Techniques」と題した記事を公開した。Claude CodeやOpenAI Codexといった AIコーディングエージェントの「エージェントスキル」に仕込まれたマルウェアが、現行のセキュリティスキャナーをほぼ完全に回避できることを研究者が実証した——しかも、すでに公開マーケットプレイスでの実被害も確認されている。
エージェントスキルとは何か
エージェントスキル(Agent Skill)とは、AIコーディングエージェントに新機能を追加するプラグインのような仕組みだ。自然言語の指示ファイル、スクリプト、補助ファイルを収めたフォルダ一式で構成される。書くのも配布するのも容易なため、2025年末にフォーマットが登場してから数ヶ月で、あるマーケットプレイスには4万件以上のスキルが登録されるほど普及が進んでいる(元記事公開日である2026年7月6日時点の数字)。
問題は権限にある。スキルはそれをロードしたエージェントと同じアクセス権で動作する。つまり、開発者のファイル、保存パスワード、接続済みアカウントに手が届く。すでに実際の攻撃として、ブラウザの認証情報、SSHキー、暗号通貨ウォレットのデータを窃取するスキルが確認されている。
SkillCloakが示した「スキャナーはほぼ無力」という現実
arXivに掲載された研究で、研究チームはSkillCloakというツールを構築し、既存のスキルスキャナーが巧妙に偽装されたマルウェアを検出できるかを検証した。対象は8種類の主要スキャナーと、実環境から収集した1,600件超の実際の悪意あるスキルだ。
結果は深刻だった。偽装されたスキルはほぼすべてのスキャナーを通過した。
研究が明らかにした回避手法は主に2つある。それぞれ異なるスキャナーセットに対して評価されており、数値の意味するところが異なる点に注意が必要だ。
手法1:Structural Obfuscation(構造的難読化)
不審なコマンド、URL、パスワード参照といった「分かりやすいシグナル」を、コンピュータには同じ意味を持つが、スキャナーには無害に見える形式に書き換える。この手法単独で、テスト対象とした8種類の主要スキャナーのうち80%以上(6種類超)を突破した。
.webp)
手法2:Self-Extracting Skill Packing(自己展開型パッキング)
こちらがより強力な手法だ。悪意あるコードを、スキャナーが参照しない場所(無視されるフォルダや難読化されたデータブロック)に隠蔽し、AIエージェントが実際にスキルを実行した段階で初めて復元・実行する仕組みだ。スキャン時点では「本物のペイロード」がまったく存在しないため、スキャナーは何もフラグを立てられない。
この手法により、同じ8種類のスキャナー全体に対して90%以上の回避率を達成した。構造的難読化を突破できなかった残りのスキャナーも含め、ほぼすべてをすり抜けた計算になる。
.webp)
さらに重要なのは、偽装してもマルウェアの機能は損なわれないという点だ。偽装したスキルを実際のコーディングエージェントで実行したところ、悪意あるコードは意図通りに動作した。攻撃者はコードを隠すことで何も失わない。
理論ではなく、すでに現実の被害がある
これは机上の研究に留まらない。ClawHavocと呼ばれるキャンペーンでは、公開マーケットプレイスに300件超の悪意あるスキルが混入されていたことが確認されている。被害者はこれらのスキルをインストールすることで、保存済みログイン情報、キーチェーンのパスワード、ウォレットファイルを静かに窃取するインフォスティーラーを実行してしまった。AIエージェントのエコシステムが急拡大する中、こうしたサプライチェーン攻撃はnpmやPyPIへの悪意あるパッケージ混入と同種の脅威として位置づけられる。エージェントスキルを狙った攻撃の詳細な分析はarXivの当該論文でも確認できる。
対策:動的解析ツール「SkillDetonate」と基本的な習慣
同研究チームは問題の指摘にとどまらず、対抗ツールとしてSkillDetonateも開発した。外見を判断する静的スキャンではなく、スキルをサンドボックス内で実際に実行し、ファイルアクセス、ネットワーク通信、データ移動をリアルタイムで監視する行動ベースのアプローチを採用する。テストでは、静的スキャナーをすべてすり抜けた偽装済みスキルも含め、悪意あるスキルの大多数を検出できた。
.webp)
ツールの活用に加え、研究者らが挙げる基本的な対策は以下のとおりだ。
- エージェントがスキルのセットアップ手順を自動実行しないよう設定する(必ず内容を確認してから実行)
- 見知らぬスキルは、インターネット上の不明なパッケージと同様に扱う
- 未知のスキルはまず隔離環境で実行する
- 異常なネットワーク通信を監視する
- エージェントがアクセスできるフォルダや認証情報を最小限に絞る
コードを目で確認することは依然として有効だが、それだけではもはや十分ではない。
詳細はAgent Skill Malware Targets Claude Code and OpenAI Codex With Scanner-Evasion Techniquesを参照していただきたい。